Le dependabot.yml fichier est un fichier de configuration facultatif qui vous donne un contrôle précis sur la façon dont Dependabot surveille et met à jour les dépendances (principalement les mises à jour de version , mais également les mises à jour de sécurité) dans votre référentiel.
`dependabot.yml` Sans fichier, Dependabot peut toujours créer des mises à jour de sécurité pour les dépendances vulnérables si vous avez activé Dependabot security updates dans les paramètres de votre référentiel. Toutefois, vous ne recevrez pas de mises à jour de version automatisées ou n’avez aucun contrôle sur les planifications de mise à jour et d’autres options de configuration.
Le fichier utilise la dependabot.yml syntaxe YAML. Si vous débutez avec YAML et que vous souhaitez en savoir plus, consultez Découvrir YAML en cinq minutes.
Remarque
Dependabot alerts sont configurées sous l’onglet « Paramètres » du référentiel ou de l’organisation, et non dans le fichier dependabot.yml, consultez Configuration d’alertes Dependabot.
Ce que fait le dependabot.yml fichier
Le dependabot.yml fichier contrôle la façon dont Dependabot effectue des mises à jour sur vos dépendances. Avec ce fichier, vous pouvez :
Pour les mises à jour de version
- Activer les mises à jour de version automatisées
- Spécifier les écosystèmes et répertoires de package à surveiller
- Définir des planifications de mise à jour
- Personnalisez les étiquettes, les personnes assignées, les relecteurs et les messages de commit des pull requests.
- Contrôler les dépendances à mettre à jour ou ignorer
- Configurer l’authentification pour les registres privés
Pour les mises à jour de sécurité
- Personnaliser les pull requests de mise à jour de sécurité avec des étiquettes, des responsables et des examinateurs.
- Définir des branches cibles pour les mises à jour de sécurité
- Configurer l’authentification de Registre privé
- Mettre des limites sur les pull requests ouvertes
Où stocker le dependabot.yml fichier
Vous devez stocker ce fichier dans le .github répertoire de votre référentiel dans la branche par défaut (généralement main). Le chemin d’accès est : .github/dependabot.yml.
Fonctionnement du dependabot.yml fichier
Lorsque vous ajoutez ou mettez à jour le dependabot.yml fichier dans votre référentiel, Dependabot lit la configuration et commence à surveiller les écosystèmes de package spécifiés en fonction de vos planifications définies. Lorsque Dependabot trouve des mises à jour disponibles, il crée des pull requests contenant les modifications de dépendances, en appliquant les règles de personnalisation que vous avez définies dans la configuration.
Le fichier de configuration nécessite les clés suivantes pour chaque écosystème de packages à surveiller.
-
** `version` **: champ de niveau supérieur qui spécifie la version de la syntaxe de configuration de Dependabot. -
** `updates` **: section de niveau supérieur dans laquelle vous définissez chaque écosystème de packages pour surveiller les mises à jour. -
** `package-ecosystem` **: défini sous `updates`, spécifie le gestionnaire de package à mettre à jour (par exemple, npm, pip ou Docker). -
** `directories` ou `directory`**: Défini sous chaque `package-ecosystem` entrée, spécifie l’emplacement des fichiers de définition de manifeste ou de dépendance. -
** `schedule.interval` **: défini sous chaque `package-ecosystem` entrée, définit la fréquence à laquelle rechercher les mises à jour de version (`daily`ou `weekly``monthly`).
Exemple de base
Voici un fichier minimal dependabot.yml qui surveille quotidiennement les dépendances npm :
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
Étape suivante
- Configurer votre référentiel afin que Dependabot met automatiquement à jour les packages que vous utilisez, consultez Configuration de mises à jour de version Dependabot