BenRogersWPG/pip-Update-Notifier

# pip 更新通知器 当您喜欢的 Python 包（通过 pip 管理）更新时，本项目会以 pull request 的形式*自动*通知您。 ## 如何使用 1. Fork 本仓库。 2. 更新 [requirements.in](/src/requirements.in)，填入您想要监控的包。您可以在文件中找到包列表，我也在其中包含了说明来帮助您。 3. 保存并提交 4. 安装 pip-tools（如果您尚未安装） pip install pip-tools 5. 使用哈希值编译 requirements.in 并自动生成安全的 requirements.txt 文件 pip-compile --generate-hashes requirements.in 6. 设置并运行 dependabot，专门针对 pip 包。 1. 在 GitHub 上前往您 Fork 的仓库。 2. 点击“Settings”标签页。 3. 在左侧边栏中，点击“Code Security”。 4. 在 Dependabot 部分下，启用最后一项“Dependabot version updates”。 5. 如果您还希望收到关于仓库其他方面的通知，请启用其他 dependabot 选项。如果您希望收到安全漏洞的通知，这也很重要。 7. 在您的项目中使用生成的 requirements.txt 文件时，强制要求哈希校验，以确保它会根据您预期的哈希值进行验证： ``` pip install --require-hashes --prefer-binary -r requirements.txt ``` ## 它的功能 完成上述所有设置后，当您监控的任何包有更新时，您将收到一个 pull request。该 pull request 将包含以下信息： - 已更新的 action 的名称。 - 更新到的版本。 - 该 action 仓库的链接。 - 您当前版本与即将更新到的版本之间的完整 action 变更日志（changelog）。 - 自您上次更新以来该版本的发布说明，包括更改了哪些内容、修复了哪些问题以及添加了哪些功能。 - 自您上次更新以来所有 commit 的完整列表。 - 与您当前版本的兼容性百分比。 - 自您上次更新以来，该 action 仓库中所有已更改文件的列表。 ### 运行 Dependabot - 一切设置妥当后，[运行 dependabot](../../network/updates) 并试一试吧 🤖！ ### 提升安全性 - 本项目通过将 Python 包锁定在当前已批准的版本，并在使用新版本前要求用户干预，从而提升您的应用安全性，防止诸如拉取最新的、潜在不安全、受感染或未经测试的版本等情况发生。 ## 一切尽在您的掌控之中 您可以自行选择想要的通知方式。您可以只监控大版本发布（例如从 3.1.5 到 4.0.0）或补丁版本发布（例如从 3.1.5 到 3.1.6）。您也可以针对每个 action 单独进行设置，这样就可以针对您最关心的包获得您想要的精确粒度的通知。*（有关如何执行此操作的说明，请参见 [requirements.in](/src/requirements.in) 文件）* *本项目基于我的 [GitHub Actions Update Notifier](https://github.com/BenRogersWPG/pip-Update-Notifier) 开发。* [](https://github.com/BenRogersWPG/pip-Update-Notifier/actions/workflows/dependabot/dependabot-updates)

标签：Dependabot, Python, SOC Prime, 依赖管理, 开发工具, 无后门, 网络调试, 自动化, 逆向工具