Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances

Vous gérez les pull requests créées par Dependabot à peu près de la même façon que les autres pull requests, mais des options supplémentaires sont disponibles.

Qui peut utiliser cette fonctionnalité ?

Utilisateurs avec accès en écriture

Dans cet article

Affichage des Dependabot pull requests

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Demandes de tirage.

    Capture d’écran de la page principale d’un dépôt. Dans la barre de navigation horizontale, un onglet intitulé « Demandes de tirage » est indiqué en orange foncé.

  3. Toutes les demandes de tirage pour les mises à jour de sécurité ou de version sont faciles à identifier.

    • L’auteur est dependabot, le compte bot utilisé par Dependabot.
    • Par défaut, elles ont l’étiquette dependencies.

Modification de la stratégie de rebasage pour les Dependabot pull requests

Par défaut, Dependabot effectue automatiquement un rebasage des demandes de fusion afin de résoudre les conflits. Si aucune demande de tirage n’a été fusionnée depuis 30 jours, Dependabot cesse de rebaser la demande de tirage. Vous pouvez toujours rebaser et fusionner manuellement la demande de tirage. Si vous préférez gérer manuellement les conflits de fusion, vous pouvez le désactiver à l’aide de l’option rebase-strategy . Pour plus d’informations, consultez Référence des options Dependabot.

Autoriser Dependabot à effectuer un rebase et à forcer le push sur des commits supplémentaires

Par défaut, Dependabot cessera de rebaser une pull request une fois que des commits supplémentaires auront été poussés vers celle-ci. Pour autoriser Dependabot à effectuer un push forcé sur des commits ajoutés à ses branches, incluez dans le message de commit l’une des chaînes suivantes : [dependabot skip], [skip dependabot], [dependabot-skip] ou [skip-dependabot], en minuscules ou en majuscules.

Gestion des Dependabot pull requests à l’aide de commandes dans les commentaires

Vous pouvez utiliser des commandes dans les commentaires sur les Dependabot pull requests pour gérer et personnaliser vos mises à jour des dépendances. Pour plus d’informations, consultez Commandes de commentaires des pull requests Dependabot.

Dependabot réagira avec un emoji « pouce levé » pour confirmer la commande, et pourra également ajouter un commentaire sur la pull request. Bien que Dependabot réponde généralement rapidement, certaines commandes peuvent prendre plusieurs minutes à s’exécuter si Dependabot est occupé à traiter d’autres mises à jour ou commandes.

Si vous exécutez l’une des commandes pour ignorer les dépendances ou les versions, Dependabot stocke les préférences du référentiel de manière centralisée. Même s’il s’agit d’une solution rapide, pour les dépôts avec plusieurs contributeurs, il est préférable de définir explicitement les dépendances et les versions à ignorer dans le fichier de configuration. Ainsi, tous les contributeurs peuvent facilement voir pourquoi une dépendance particulière n’est pas automatiquement mise à jour.

Pour plus d’informations, consultez « Référence des options Dependabot ».