Solicitudes de incorporación de cambios para actualizaciones de seguridad
Si ha habilitado las actualizaciones de seguridad, las solicitudes de incorporación de cambios para las actualizaciones de seguridad se inician mediante una alerta de Dependabot para una dependencia en su rama predeterminada. El Dependabot levanta automáticamente una solicitud de extracción para actualizar la dependencia vulnerable.
Cada solicitud de cambios contiene todo lo que necesitas para revisar y fusionar de forma rápida y segura un arreglo propuesto en tu proyecto. Esto incluye la información acerca de la vulnerabilidad, como las notas de lanzamiento, las entradas de bitácora de cambios, y los detalles de confirmación. Los detalles de qué vulnerabilidad resuelve una solicitud de cambios se encuentran ocultos para cualquiera que no tenga acceso a las Dependabot alerts del repositorio en cuestión.
Cuando fusionas una solicitud de cambios que contiene una actualización de seguridad, la alerta correspondiente del Dependabot se marca como resuelta en el repositorio. Para obtener más información sobre las solicitudes de incorporación de cambios de Dependabot, consulte Administrar las solicitudes de extracción para las actualizaciones de dependencia.
Nota:
Un procedimiento recomendado consiste en establecer pruebas automatizadas y procesos de aceptación para que las comprobaciones se realicen antes de que se fusione mediante combinación la solicitud de cambios. Esto es particularmente importante si la versión que se sugiere mejorar contiene funcionalidades adicionales o un cambio que infrinja el código de tu proyecto. Para más información sobre la integración continua, consulta Integración continua.
Personalización de pull requests para actualizaciones de seguridad
Puede personalizar cómo Dependabot genera solicitudes de incorporación de cambios para las actualizaciones de seguridad, de modo que se ajusten mejor a las prioridades y procesos de seguridad del proyecto. Por ejemplo: * Optimice las solicitudes de incorporación de cambios de Dependabot para priorizar las actualizaciones significativas mediante la agrupación de varias actualizaciones en una única solicitud de incorporación de cambios.
- Aplique etiquetas personalizadas para integrar las solicitudes de incorporación de cambios de Dependabot en los flujos de trabajo existentes.
De forma similar a las actualizaciones de versión, las opciones de personalización de las actualizaciones de seguridad se definen en el archivo dependabot.yml. Si ya ha personalizado dependabot.yml para las actualizaciones de versión, muchas de las opciones de configuración que ha definido también se podrían aplicar automáticamente a las actualizaciones de seguridad. Sin embargo, hay un par de puntos importantes que se deben tener en cuenta:
- Dependabot security updates se desencadenan siempre mediante un aviso de seguridad, en lugar de ejecutarse según el valor
scheduleque ha establecido endependabot.ymlpara las actualizaciones de versión. - Dependabot genera solicitudes de incorporación de cambios para actualizaciones de seguridad solo en la rama predeterminada. Si en la configuración establece un valor para
target-branch, la personalización de ese ecosistema de paquetes se aplicará solo a las actualizaciones de versión de manera predeterminada.
Para más información, consulta Personalización de solicitudes de incorporación de cambios para actualizaciones de seguridad de Dependabot.
Solicitudes de incorporación de cambios para actualizaciones de versiones
En el caso de las actualizaciones de versiones, especifique la frecuencia con la que se comprueban las nuevas versiones de cada ecosistema en el archivo de configuración: diaria, semanal o mensual.
Cuando habilitas las actualizaciones de versión por primera vez, podrías tener muchas dependencias desactualizadas y algunas podrían estar varias versiones debajo de la última. Dependabot verifica las dependencias que estén desactualizadas tan pronto se habilita. Podrías ver nuevas solicitudes de extracción para las actualizaciones de versión después de algunos minutos de haber agregado el archivo de configuración, dependiendo de la cantidad de archivos de manifiesto para los cuales configuras las actualizaciones. El Dependabot también ejecutará una actualización en los cambios subsecuentes al archivo de configuración.
Para facilitar la administración y revisión de las solicitudes de incorporación de cambios, Dependabot genera un máximo de cinco solicitudes de incorporación de cambios para comenzar a actualizar a las dependencias a su versión más reciente. Si fusionas algunas de estas primeras solicitudes de cambios en la siguiente actualización programada, aquellas restantes se abrirán en la siguiente actualización, hasta ese máximo. Puede cambiar el número máximo de solicitudes de incorporación de cambios abiertas si establece la opción de configuración open-pull-requests-limit.
Para reducir aún más el número de solicitudes de cambios que puedes ver, puedes usar la opción de configuración groups para agrupar conjuntos de dependencias (por ecosistema de paquetes). Después, Dependabot genera una única solicitud de cambios para actualizar tantas dependencias como sea posible en el grupo a las versiones más recientes al mismo tiempo. Para obtener más información, consulte Optimización de la creación de solicitudes de cambios para actualizaciones de versión de Dependabot.
Comandos para solicitudes de incorporación de cambios de Dependabot
El Dependabot responde a comandos simples en los comentarios. Cada solicitud de cambios contiene detalles de los comandos que puedes utilizar para procesarla (por ejemplo: para fusionarla, combinarla, reabrirla, cerrarla o rebasarla) bajo la sección de "comandos y opciones del Dependabot". El objetivo es facilitar tanto como sea posible el que se pueda clasificar automáticamente las solicitudes de extracción generadas. Para más información, consulta Comandos de comentarios en las solicitudes de incorporación de cambios de Dependabot.