El dependabot.yml archivo es un archivo de configuración opcional que proporciona un control específico sobre cómo Dependabot supervisa y actualiza las dependencias (principalmente actualizaciones de versiones , pero también actualizaciones de seguridad) en el repositorio.
Sin un dependabot.yml archivo, Dependabot todavía puede crear actualizaciones de seguridad para dependencias vulnerables si ha habilitado Dependabot security updates en la configuración del repositorio. Sin embargo, no recibirá actualizaciones de versiones automatizadas ni tendrá control sobre las programaciones de actualizaciones y otras opciones de configuración.
El dependabot.yml archivo usa la sintaxis YAML. Si no está familiarizado con YAML y quiere obtener más información, consulte Aprender YAML en cinco minutos.
Nota:
Las Dependabot alerts se configuran en la pestaña "Configuración" del repositorio o de la organización, y no en el archivo dependabot.yml; consulte Configuración de alertas de Dependabot.
Qué hace el dependabot.yml archivo
El archivo dependabot.yml controla cómo Dependabot realiza actualizaciones en tus dependencias. Con este archivo, puede:
Para las actualizaciones de versión
- Habilitación de actualizaciones de versiones automatizadas
- Especificación de los ecosistemas y directorios de paquetes que se van a supervisar
- Establecer programaciones de actualización
- Personalización de etiquetas de solicitud de incorporación de cambios, usuarios asignados, revisores y mensajes de confirmación
- Controlar qué dependencias actualizar o omitir
- Configuración de la autenticación para registros privados
Para actualizaciones de seguridad
- Personalización de las solicitudes de incorporación de cambios de las actualizaciones de seguridad con etiquetas, usuarios asignados y revisores
- Definir ramas de destino para actualizaciones de seguridad
- Configuración de la autenticación privada del registro
- Establecer límites en las solicitudes de incorporación de cambios abiertas
Dónde almacenar el dependabot.yml archivo
Debe almacenar este archivo en el .github directorio del repositorio en la rama predeterminada (normalmente main). La ruta de acceso es: .github/dependabot.yml.
Funcionamiento del dependabot.yml archivo
Al agregar o actualizar el archivo dependabot.yml en el repositorio, Dependabot lee la configuración y comienza a supervisar los ecosistemas de paquetes especificados según los horarios definidos. Cuando Dependabot encuentra actualizaciones disponibles, crea solicitudes de incorporación de cambios con las actualizaciones de dependencias, siguiendo las reglas de personalización que haya especificado en la configuración.
El archivo de configuración requiere las siguientes claves para que cada ecosistema de paquetes supervise.
-
** `version` **: campo de nivel superior que especifica la versión de sintaxis de configuración de Dependabot. -
** `updates` **: sección de nivel superior donde se define cada ecosistema de paquetes para supervisar las actualizaciones. -
** `package-ecosystem` **: definido en `updates`, especifica qué administrador de paquetes se va a actualizar (por ejemplo, npm, pip o Docker). -
** `directories` o `directory`**: Definido en cada entrada de `package-ecosystem`, especifica la ubicación de los archivos de definición de manifiesto o de dependencia. -
** `schedule.interval` **: definido en cada `package-ecosystem` entrada, establece la frecuencia con la que se comprueban las actualizaciones de versión (`daily`, `weekly`o `monthly`).
Ejemplo básico
Este es un archivo mínimo dependabot.yml que supervisa las dependencias de npm diariamente:
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
Paso siguiente
- Configure el repositorio para que Dependabot actualice automáticamente los paquetes que usa, consulte Configuración de las actualizaciones de versiones de Dependabot.