Acerca de las actualizaciones a la versión del Dependabot

Puede utilizar el Dependabot para mantener los paquetes que utilizas actualizados a su versión más reciente.

¿Quién puede utilizar esta característica?

Dependabot version updates está disponible para los repositorios siguientes:

  • Todos los repositorios de GitHub Enterprise Server

En este artículo

Nota:

Para poder utilizar esta característica, el administrador del sitio debe configurar Dependabot updates para tu instancia de GitHub Enterprise Server. Para obtener más información, consulta Habilitación de Dependabot para la empresa.

Es posible que no puedas habilitar ni deshabilitar Dependabot updates si un propietario de empresa ha establecido una directiva a nivel empresarial. Para más información, consulta Aplicación de directivas de seguridad y análisis de código de la empresa.

Acerca de Dependabot version updates

El Dependabot hace el esfuerzo de mantener tus dependencias. Puedes utilizarlo para garantizar que tu repositorio se mantenga automáticamente con los últimos lanzamientos de los paquetes y aplicaciones de los que depende.

Cuando Dependabot genera solicitudes de incorporación de cambios, pueden ser para actualizaciones de seguridad o de versión:

  • Dependabot security updates son solicitudes de incorporación de cambios automatizadas que ayudan a actualizar las dependencias con vulnerabilidades conocidas.
  • Dependabot version updates son solicitudes de incorporación de cambios automatizadas que mantienen actualizadas las dependencias, incluso cuando no tienen ninguna vulnerabilidad. Para verificar el estado de las actualizaciones de versión, navega a la pestaña de perspectivas de tu repositorio, luego a la gráfica de dependencias, y luego al Dependabot.

Para habilitar Dependabot version updates, comprueba un archivo de configuración dependabot.yml en el repositorio.

Actualizaciones de paquetes

El dependabot.yml archivo de configuración especifica la ubicación del manifiesto o de otros archivos de definición de paquete almacenados en el repositorio. Dependabot usa esta información para comprobar si hay aplicaciones y paquetes obsoletos. Dependabot determina si hay una versión nueva de una dependencia buscando el control de versiones semántico (SemVer) de la dependencia para decidir si debería actualizarla a esa versión. Para más información sobre los ecosistemas compatibles con los repositorios privados, consulta Ecosistemas y repositorios admitidos por Dependabot.

El archivo dependabot.yml también se puede configurar para indicar a Dependabot cómo mantener las dependencias. Para más información, consulta Acerca del archivo dependabot.yml.

Para ciertos administradores de paquetes, Dependabot version updates también es compatible con su delegación a proveedores. Las dependencias delegadas (o almacenadas en caché) son aquellas que se registran en un directorio específico en un repositorio en vez de que se referencien en un manifiesto. Las dependencias delegadas a proveedores están disponibles desde el momento de su creación, incluso si los servidores de paquetes no se encuentran disponibles. Las Dependabot version updates pueden configurarse para verificar las dependencias delegadas a proveedores para las nuevas versiones y también pueden actualizarse de ser necesario.

Cuando Dependabot identifica una dependencia obsoleta, genera una solicitud de incorporación de cambios para actualizar el manifiesto a la versión más reciente de la dependencia. Lara las dependencias delegadas a proveedores, el Dependabot levanta una solicitud de cambios para reemplazar la dependencia desactualizada directamente con la versión nueva. Verificas que tu prueba pase, revisas el registro de cambios y notas de lanzamiento que se incluyan en el resumen de la solicitud de extracción y, posteriormente, lo fusionas. Para más información, consulta Configuración de las actualizaciones de versiones de Dependabot.

Si habilita las actualizaciones de seguridad, Dependabot también generará solicitudes de incorporación de cambios para actualizar las dependencias vulnerables. Para más información, consulta Sobre las actualizaciones de seguridad de Dependabot.

Actualizaciones de acciones

Las acciones a menudo se actualizan con correcciones de errores y con nuevas características para que los procesos automatizados sean más confiables, rápidos y seguros. Cuando habilita Dependabot version updates para GitHub Actions, Dependabot le permite asegurarse de que las referencias a las acciones en el archivo workflow.yml de un repositorio y los flujos de trabajo reutilizables usados dentro de los flujos de trabajo se mantienen actualizados.

Para cada acción del archivo, Dependabot comprueba si la referencia de la acción (suele ser un número de versión o un identificador de confirmación asociado a la acción) está actualizada a la versión más reciente. Si hay disponible alguna versión más reciente de la acción, Dependabot le enviará una solicitud de incorporación de cambios para actualizar la referencia en el archivo de flujo de trabajo a su última versión.

Dependabot también comprueba los archivos de flujo de trabajo para los usos de flujos de trabajo reutilizables y actualiza la referencia de Git para estos denominados flujos de trabajo reutilizables.

Para habilitar esta característica, consulte Mantener tus acciones actualizadas con el Dependabot.

Acerca de la desactivación automática de Dependabot updates

Cuando los mantenedores de un repositorio dejan de interactuar con las solicitudes de cambios de Dependabot, Dependabot pausa temporalmente sus actualizaciones y te informa de ello; consulta Ya no se generan actualizaciones de solicitudes de incorporación de cambios de actualización de Dependabot.

Acerca de las notificaciones para las actualizaciones de versión del Dependabot

Puedes filtrar tus notificaciones en GitHub para mostrar notificaciones para las solicitudes de cambios que creó el Dependabot. Para más información, consulta Administrar las notificaciones en tu bandeja de entrada.