---

title: Dependabot 自动安全更新配置指南

keywords:

• Dependabot
• 安全更新
• GitHub
• 依赖升级
• 调度

description: 使用 Dependabot 自动检测并创建安全更新 PR，提供标准配置文件示例与调度策略。

categories:

• 文章资讯
• 技术教程

---

Dependabot 自动安全更新配置指南

配置示例（.github/dependabot.yml）

version: 2
updates:
  - package-ecosystem: npm
    directory: "/"
    schedule:
      interval: weekly
    open-pull-requests-limit: 10
    allow:
      - dependency-type: all
  - package-ecosystem: github-actions
    directory: "/"
    schedule:
      interval: weekly

要点

• 限制同时打开的 PR 数量，避免打扰
• 针对 Actions 与应用依赖分别配置
• 配合分支保护与自动合并策略

验证

• 观察自动创建的 PR 与变更日志，确认安全修复被及时合入

总结

通过自动化依赖更新与审查流程，可显著提升安全性与可维护性。