Référence des options Dependabot

Cet article fournit des informations de référence sur les options de configuration disponibles dans le dependabot.yml fichier. Utilisez ces options pour personnaliser la façon dont Dependabot surveille les écosystèmes de packages, planifie les mises à jour et crée des demandes de tirage. Pour obtenir une vue d’ensemble du dependabot.yml fichier et son fonctionnement, consultez À propos du fichier dependabot.yml.

Toutes les options marquées avec une icône modifient également la façon dont Dependabot crée des pull requests pour les mises à jour de sécurité, sauf lorsque target-branch est utilisé.

Clés obligatoires

Key	Emplacement	Objectif
`version`	Niveau supérieur

          Dependabot syntaxe de configuration à utiliser. Toujours : `2`.|

| updates | Niveau supérieur| Section dans laquelle vous définissez chaque package-ecosystem à mettre à jour.| | package-ecosystem | Sous updates | Définissez un gestionnaire de package à mettre à jour. | | directories ou directory | Sous chaque entrée package-ecosystem | Définissez l’emplacement du manifeste ou des autres fichiers de définition à mettre à jour. | | schedule.interval | Sous chaque entrée package-ecosystem | Définissez s’il faut rechercher les mises à jour de version : daily, weekly ou monthly. |

Vous pouvez également inclure une clé de niveau supérieur registries pour définir les détails d’accès aux registres privés. Reportez-vous à la section Clé registries de niveau supérieur.

YAML

# Basic `dependabot.yml` file with
# minimum configuration for two package managers

version: 2
updates:
  # Enable version updates for npm
  - package-ecosystem: "npm"
    # Look for `package.json` and `lock` files in the `root` directory
    directory: "/"
    # Check the npm registry for updates every day (weekdays)
    schedule:
      interval: "daily"

  # Enable version updates for Docker
  - package-ecosystem: "docker"
    # Look for a `Dockerfile` in the `root` directory
    directory: "/"
    # Check for updates once a week
    schedule:
      interval: "weekly"


# Basic `dependabot.yml` file with
# minimum configuration for two package managers

version: 2
updates:
  # Enable version updates for npm
  - package-ecosystem: "npm"
    # Look for `package.json` and `lock` files in the `root` directory
    directory: "/"
    # Check the npm registry for updates every day (weekdays)
    schedule:
      interval: "daily"

  # Enable version updates for Docker
  - package-ecosystem: "docker"
    # Look for a `Dockerfile` in the `root` directory
    directory: "/"
    # Check for updates once a week
    schedule:
      interval: "weekly"

Pour obtenir un exemple réel d’un dependabot.yml fichier, consultez Dependabotle fichier de configuration propre.

          `allow`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Permet de définir précisément les dépendances à conserver pour un écosystème de packages. Souvent utilisé avec l’option ignore. Pour obtenir des exemples, consultez Contrôle des dépendances mises à jour par Dependabot.

          Dependabot comportement par défaut :

* Toutes les dépendances explicitement définies dans un manifeste sont conservées à jour par les mises à jour de version. * Toutes les dépendances définies dans les fichiers de verrouillage avec des dépendances vulnérables sont mises à jour par les mises à jour de sécurité.

Quand allow est spécifié Dependabot utilise le processus suivant :

Recherchez toutes les dépendances autorisées explicitement.
Filtrez ensuite toutes les dépendances ou versions ignorées.

Si une dépendance correspond à une instruction allow et à une instruction ignore, elle est alors ignorée.

Paramètres	Objectif
`dependency-name`	Permet d’autoriser les mises à jour des dépendances dont le nom correspond à une chaîne donnée. Vous pouvez utiliser `*` pour indiquer zéro ou plusieurs caractères.
`dependency-type`	Permet d’autoriser les mises à jour pour les dépendances de types spécifiques.

          `dependency-name` (`allow`)

Pour la plupart des gestionnaires de packages, il est recommandé de définir une valeur qui correspondra au nom de la dépendance spécifié dans le fichier de verrouillage ou le fichier manifeste. Certains systèmes ont des exigences plus complexes.

Gestionnaire de package	Format requis	Example
Gradle et Maven	`groupId:artifactId`	`org.kohsuke:github-api`
Docker pour les balises d’image	Le nom complet du référentiel	Pour une balise d’image `<account ID>.dkr.ecr.us-west-2.amazonaws.com/base/foo/bar/ruby:3.1.0-focal-jemalloc`, utilisez `base/foo/bar/ruby`.

          `dependency-type` (`allow`)

Types de dépendance	Pris en charge par les gestionnaires de packages	Autoriser les mises à jour
`direct`	Tous	Toutes les dépendances définies explicitement.
`indirect`

          `bundler`, , `pip`, `composer``cargo`, , `gomod` | Dépendances de dépendances directes (également appelées sous-dépendances ou dépendances transitives).|

| all | Tous | Toutes les dépendances définies explicitement. Pour bundler, pip, composer, cargo, gomod, ainsi que les dépendances des dépendances directes.| | production | bundler, , composer, mix``maven, npm, , pip pas tous les gestionnaires) | Uniquement aux dépendances définies par le gestionnaire de packages comme dépendances de production. | | development| bundler composer, mix``maven, npm``pip) | Uniquement aux dépendances définies par le gestionnaire de packages comme dépendances de développement. |

          `assignees`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Spécifiez les responsables individuels pour toutes les demandes d’extraction soulevées pour un écosystème de packages. Pour obtenir des exemples, consultez Personnalisation des demandes de tirage Dependabot pour les adapter à vos processus.

          Dependabot comportement par défaut :

Les demandes d’extraction sont créées sans aucun responsable.

Quand assignees est défini :

        <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-versions" aria-label="versions" role="img"><path d="M7.75 14A1.75 1.75 0 0 1 6 12.25v-8.5C6 2.784 6.784 2 7.75 2h6.5c.966 0 1.75.784 1.75 1.75v8.5A1.75 1.75 0 0 1 14.25 14Zm-.25-1.75c0 .138.112.25.25.25h6.5a.25.25 0 0 0 .25-.25v-8.5a.25.25 0 0 0-.25-.25h-6.5a.25.25 0 0 0-.25.25ZM4.9 3.508a.75.75 0 0 1-.274 1.025.249.249 0 0 0-.126.217v6.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.75 1.75 0 0 1 3 11.25v-6.5c0-.649.353-1.214.874-1.516a.75.75 0 0 1 1.025.274ZM1.625 5.533h.001a.249.249 0 0 0-.126.217v4.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.748 1.748 0 0 1 0 10.25v-4.5a1.748 1.748 0 0 1 .873-1.516.75.75 0 1 1 .752 1.299Z"></path></svg> Toutes les pull requests pour les mises à jour de version sont créées avec les assignés choisis.

        <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield-check" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg> Toutes les pull requests pour les mises à jour de sécurité sont créées avec les assignataires choisis, sauf si `target-branch` définit les mises à jour dans une branche différente de la branche par défaut.

Les bénéficiaires doivent disposer d’un accès en écriture au référentiel. Pour les référentiels appartenant à une organisation, les membres de l’organisation disposant d’un accès en lecture sont également des assignataires valides.

          `commit-message`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Définissez le format des messages de validation. Étant donné que les titres des demandes de tirage sont rédigés à partir des messages de commit, ce paramètre a également une incidence sur les titres des demandes de tirage. Pour obtenir des exemples, consultez Personnalisation des demandes de tirage Dependabot pour les adapter à vos processus.

          Dependabot comportement par défaut :

Les messages de validation suivent des modèles similaires à ceux détectés dans le référentiel.

Quand commit-message est défini :

        <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-versions" aria-label="versions" role="img"><path d="M7.75 14A1.75 1.75 0 0 1 6 12.25v-8.5C6 2.784 6.784 2 7.75 2h6.5c.966 0 1.75.784 1.75 1.75v8.5A1.75 1.75 0 0 1 14.25 14Zm-.25-1.75c0 .138.112.25.25.25h6.5a.25.25 0 0 0 .25-.25v-8.5a.25.25 0 0 0-.25-.25h-6.5a.25.25 0 0 0-.25.25ZM4.9 3.508a.75.75 0 0 1-.274 1.025.249.249 0 0 0-.126.217v6.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.75 1.75 0 0 1 3 11.25v-6.5c0-.649.353-1.214.874-1.516a.75.75 0 0 1 1.025.274ZM1.625 5.533h.001a.249.249 0 0 0-.126.217v4.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.748 1.748 0 0 1 0 10.25v-4.5a1.748 1.748 0 0 1 .873-1.516.75.75 0 1 1 .752 1.299Z"></path></svg> Tous les messages de validation suivent le modèle défini.

        <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield-check" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg> Tous les messages de validation suivent le modèle défini, sauf si `target-branch` définit les mises à jour d’une branche non par défaut.

Paramètres	Objectif
`prefix`	Définit un préfixe pour tous les messages de validation et les titres des demandes d’extraction.
`prefix-development`	Sur les systèmes pris en charge, définit un préfixe différent à utiliser pour les validations qui mettent à jour les dépendances dans le groupe de dépendances de développement.
`include`	Vous pouvez ajouter des informations supplémentaires après le préfixe du message de validation.

Conseil

Lorsque des demandes d’extraction sont émises pour des mises à jour groupées, le nom de la branche et le titre de la demande d’extraction sont définis par le groupe IDENTIFIER, consultez groups.

`prefix`

Utilisé pour tous les messages de validation, sauf si prefix-development est également défini.
La valeur peut comporter jusqu’à 50 caractères.

        Dependabot insère un signe deux-points après le préfixe avant d’ajouter le message de validation principal lorsque la valeur se termine par une lettre, un nombre, une parenthèse fermante ou un crochet fermant.

Terminez la valeur par un espace pour éviter l’ajout d’un deux-points.

`prefix-development`

Pris en charge par : bundler, composer, mix, maven, npm et pip.

À utiliser uniquement pour les messages de validation qui mettent à jour les dépendances dans le groupe de dépendances de développement.
Sinon, le paramètre se comporte exactement comme le paramètre prefix.

`include`

Prend uniquement en charge la valeur scope
Lorsqu’un préfixe est défini, il est suivi du type de dépendances mises à jour dans la validation : deps ou deps-dev.

          `directories` ou `directory`<svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg><svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

          **Option obligatoire**. Permet de définir l’emplacement des manifestes de package pour chaque gestionnaire de package (par exemple, _package.json_ ou _Gemfile_). Sans ces informations Dependabot, il est impossible de créer de requêtes d'intégration pour les mises à jour de version. Pour des exemples, consultez [Définition de plusieurs emplacements pour les fichiers manifestes](/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#defining-multiple-locations-for-manifest-files).

Utilisez directory pour définir un seul répertoire de manifestes.
Utilisez directories pour définir une liste de plusieurs répertoires de manifestes.
Définissez les répertoires par rapport à la racine du référentiel pour la plupart des gestionnaires de packages.
Pour GitHub Actions, utilisez la valeur /. Dependabot recherche le /.github/workflows répertoire, ainsi que le action.yml/action.yaml fichier à partir du répertoire racine.

Si vous devez utiliser plusieurs blocs dans le fichier de configuration pour définir les mises à jour d’une seule branche cible d’un écosystème, veuillez vous assurer que toutes les valeurs sont uniques et qu’il n’y a pas de chevauchement dans les répertoires définis.

Remarque

La clé directories prend en charge l’utilisation des caractères génériques et le caractère générique *. Ces fonctionnalités ne sont pas prises en charge par la clé directory.

          `enable-beta-ecosystems`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates only" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>

Non utilisée pour le moment.

          `groups`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Définissez des règles pour créer un ou plusieurs ensembles de dépendances gérés par un gestionnaire de packages, afin de regrouper les mises à jour en un nombre réduit de demandes de tirage ciblées. Pour obtenir des exemples, consultez Optimisation de la création de requêtes de tirage pour les mises à jour de version Dependabot.

          Dependabot comportement par défaut :

Ouvrez une seule demande de modification pour chaque dépendance qui doit être mise à jour vers une version plus récente pour les mises à jour de version et les mises à jour de sécurité.

Quand groups est utilisé pour définir des règles :

Toutes les mises à jour pour les dépendances qui correspondent à une règle sont regroupées dans une seule demande de tirage.
Si une dépendance correspond à plusieurs règles, elle est incluse dans le premier groupe auquel elle correspond.
Toute dépendance obsolète qui ne correspond pas à une règle est mise à jour dans des demandes de tirage individuelles.

Paramètres	Objectif
`IDENTIFIER`	Définissez un identificateur pour le groupe à utiliser dans les noms de branches et les titres des demandes de tirage. Il doit commencer et se terminer par une lettre, et peut contenir des lettres, des barres verticales `\|`,, des traits de soulignement `_` ou des tirets `-`.
`applies-to`	Spécifiez le type de mise à jour auquel le groupe s’applique. Si non défini, la valeur par défaut est les mises à jour de version. Valeurs prises en charge : `version-updates` ou `security-updates`.
`dependency-type`	Limitez le groupe à un type. Valeurs prises en charge : `development` ou `production`.
`exclude-patterns`	Définissez un ou plusieurs modèles pour exclure les dépendances du groupe.
`patterns`	Définissez un ou plusieurs modèles pour inclure les dépendances dont les noms correspondent.
`update-types`	Limitez le groupe à un ou plusieurs niveaux de gestion sémantique des versions. Valeurs prises en charge : `minor`, `patch`et `major`.

          `dependency-type` (`groups`)

Pris en charge par : bundler, composer, mix, maven, npm et pip.

Par défaut, un groupe inclura tous les types de dépendances.

Utilisez development pour n’inclure que les dépendances du « groupe de dépendances de développement ».
Utilisez production pour n’inclure que les dépendances du « groupe de dépendances de production ».

          `patterns` et `exclude-patterns` (`groups`)

Les deux options prennent en charge l’utilisation de * comme caractère générique pour définir les correspondances avec les noms de dépendances. Si une dépendance correspond à la fois à un modèle et à un modèle d’exclusion, elle est alors exclue du groupe.

          `update-types` (`groups`)

Par défaut, un groupe inclura les mises à jour pour toutes les versions sémantiques (SemVer). SemVer est une norme reconnue pour définir les versions des progiciels, sous la forme x.y.z. Dependabot suppose que les versions sous cette forme sont toujours major.minor.patch.

Utilisez patch pour inclure les versions correctives.
Utilisez minor pour inclure des versions mineures.
Utilisez major pour inclure des versions majeures.

Pour obtenir des exemples, consultez Contrôle des dépendances mises à jour par Dependabot.

          `ignore`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Utilisez l’option allow pour définir précisément les dépendances à conserver pour un écosystème de packages. Dependabot recherche toutes les dépendances autorisées, puis filtre toutes les dépendances ou versions ignorées. Ainsi, une dépendance qui correspond à la fois à une autorisation et à une exclusion sera ignorée. Pour obtenir des exemples, consultez Contrôle des dépendances mises à jour par Dependabot.

          Dependabot comportement par défaut :

Quand ignore est utilisé, Dependabot utilise le processus suivant :

Recherchez toutes les dépendances autorisées explicitement.
Filtrez ensuite toutes les dépendances ou versions ignorées.

Si une dépendance correspond à une instruction allow et à une instruction ignore, elle est alors ignorée.

Paramètres	Objectif
`dependency-name`	Ignorez les mises à jour des dépendances dont le nom correspond à une chaîne donnée. Vous pouvez utiliser `*` pour indiquer zéro ou plusieurs caractères.
`versions`	Ignorez des versions ou des plages de versions spécifiques.
`update-types`	Ignorez les mises à jour d’un ou plusieurs niveaux de version sémantique. Valeurs prises en charge : `version-update:semver-minor`, `version-update:semver-patch`et `version-update:semver-major`.

          `dependency-name` (`ignore`)

Gestionnaire de package	Format requis	Example
Gradle et Maven	`groupId:artifactId`	`org.kohsuke:github-api`
Docker pour les balises d’image	Le nom complet du référentiel	Pour une balise d’image `<account ID>.dkr.ecr.us-west-2.amazonaws.com/base/foo/bar/ruby:3.1.0-focal-jemalloc`, utilisez `base/foo/bar/ruby`.

          `versions` (`ignore`)

Permet d’ignorer des versions ou des plages de versions spécifiques. Si vous souhaitez définir une plage, utilisez le modèle standard du gestionnaire de package. Par exemple:

npm : utilisez ^1.0.0
Bundler : utilisez ~> 2.0
Docker : utilisez la syntaxe de version Bundler
NuGet : utilisez 7.*
Maven : utilisez [1.4,)

Pour obtenir des exemples, consultez Contrôle des dépendances mises à jour par Dependabot.

          `update-types` (`ignore`)

Spécifiez les versions sémantiques (SemVer) à ignorer. SemVer est une norme reconnue pour définir les versions des progiciels, sous la forme x.y.z. Dependabot suppose que les versions de ce formulaire sont toujours major.minor.patch.

Utilisez version-update:semver-patch pour inclure les versions correctives.
Utilisez version-update:semver-minor pour inclure des versions mineures.
Utilisez version-update:semver-major pour inclure des versions majeures.

          `insecure-external-code-execution`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Pris en charge par : bundler, mix et pip.

Autorisez Dependabot l’exécution de code externe dans le manifeste pendant les mises à jour. Pour des exemples, consultez Autorisation de l’exécution de code externe.

          Dependabot comportement par défaut :

Lorsque vous accordez Dependabot l’accès à un ou plusieurs registres, l’exécution de code externe est automatiquement désactivée pour protéger votre code contre les packages compromis.
Les mises à jour de version peuvent échouer si l’exécution de code n’est pas possible.

Lorsque vous autorisez insecure-external-code-execution :

        Dependabot exécute du code dans le manifeste dans le cadre du processus de mise à jour de version.

Le code n’a accès qu’aux gestionnaires de packages dans les registres associés à ce paramètre updates. Aucun accès aux registres définis dans la configuration registries de niveau supérieur n’est autorisé.
Cela devrait permettre à la mise à jour de réussir, mais pourrait également permettre à un package compromis de voler des identifiants ou d’accéder aux registres configurés.

Valeur prise en charge : allow.

          `labels`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Spécifiez vos propres étiquettes pour toutes les demandes d’extraction soulevées pour un gestionnaire de packages. Pour obtenir des exemples, consultez Personnalisation des demandes de tirage Dependabot pour les adapter à vos processus.

          Dependabot comportement par défaut :

Toutes les demandes de tirage portent une étiquette dependencies.
Si vous définissez plusieurs gestionnaires de packages, une étiquette supplémentaire pour l’écosystème ou le langage est ajoutée à chaque pull request. Par exemple : java pour les mises à jour Gradle et submodules pour les mises à jour de sous-module git.
Si les étiquettes de version sémantique (SemVer) sont présentes dans le référentiel, elles sont appliquées automatiquement pour indiquer le type de mise à jour de version (major, minorou patch).

        Dependabot crée automatiquement ces étiquettes par défaut, si nécessaire dans votre référentiel.

Quand labels est défini :

Les étiquettes spécifiées sont utilisées à la place des étiquettes par défaut.
Les étiquettes SemVer (si présentes dans le référentiel) sont toujours appliquées en plus des étiquettes personnalisées définies.
Si l’une de ces étiquettes n’est pas définie dans le dépôt, elle est ignorée.
Vous pouvez désactiver toutes les étiquettes, y compris les étiquettes par défaut, en utilisant labels: [ ].

La définition de cette option affecte aussi les demandes de tirage pour des mises à jour de sécurité des fichiers manifeste de ce gestionnaire de packages, sauf si vous utilisez target-branch pour rechercher les mises à jour de version sur une branche autre que celle par défaut.

          `milestone`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Associez toutes les demandes de tirage déclenchées pour un gestionnaire de package à un jalon. Pour obtenir des exemples, consultez Personnalisation des demandes de tirage Dependabot pour les adapter à vos processus.

          Dependabot comportement par défaut :

Aucun jalon n’est utilisé.

Quand milestone est défini :

Toutes les demandes d’extraction pour le gestionnaire de packages sont ajoutées au jalon.

Valeur prise en charge : identificateur numérique d’un jalon.

Conseil

Si vous affichez un jalon, la dernière partie de l’URL de la page, après milestone, est l’identificateur. Par exemple : https://github.com/<org>/<repo>/milestone/3, consultez Affichage de la progression de votre jalon.

          `open-pull-requests-limit`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates only" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>

Modifiez la limite du nombre maximal de demandes de tirage pour les mises à jour de version ouvertes à tout moment.

          Dependabot comportement par défaut :

Si cinq demandes de tirage avec des mises à jour de version sont en cours, aucune autre demande ne sera soulevée tant que certaines de ces demandes en cours n’auront pas été fusionnées ou clôturées.
Les mises à jour de sécurité ont une limite interne distincte de dix demandes d’extraction ouvertes qui ne peut être modifiée.

Quand open-pull-requests-limit est défini :

        Dependabot ouvre les requêtes jusqu’à la valeur entière définie. Une grande valeur peut être définie pour supprimer efficacement la limite de pull requests ouvertes.

Vous pouvez désactiver temporairement les mises à jour de version d’un gestionnaire de package en définissant cette option sur zéro, voir Désactivation Dependabot version updates.

          `package-ecosystem`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates only" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>

          **Option obligatoire.** Définissez un `package-ecosystem` élément pour chaque gestionnaire de package que vous souhaitez Dependabot surveiller pour les nouvelles versions. Le référentiel doit également contenir un manifeste de dépendances ou un fichier de verrouillage pour chaque gestionnaire de packages. Consultez l’[exemple`dependabot.yml` de fichier](/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates#example-dependabotyml-file).

Gestionnaire de package	Valeur YAML	Versions prises en charge
Bundler	`bundler`

          v2 |

| Cargo | cargo | v1 | | Composer | composer | v2 | | | | Conteneurs de développement | devcontainers | Sans objet | | Docker | docker | v1 | | | | | | | | Hex | mix | v1 | | | | elm-package | elm | v0.19 | | sous-module git | gitsubmodule | Sans objet | | GitHub Actions | github-actions | Sans objet | | Modules Go | gomod | v1 | | Gradle | gradle | Sans objet | | Maven | maven | Sans objet | | | | npm | npm | v7, v8, v9, v10 | | NuGet | nuget | <=6.12.0 | | | | pip| pip | v24.2 | | pip-compile | pip | 7.4.1 | | pipenv | pip | <= 2024.4.1 | | pnpm | npm | v7, v8
v9, v10 (mises à jour de version uniquement) | | poetry | pip | v2 | | | | bistrot | pub | v2 | | | | Swift | swift | v5 | | Terraform | terraform | >= 0,13, <= 1.10.x | | | | | | yarn | npm | v1, v2, v3, v4 |

          `pull-request-branch-name.separator`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Spécifiez un séparateur à utiliser lors de la génération de noms de branche. Pour obtenir des exemples, consultez Personnalisation des demandes de tirage Dependabot pour les adapter à vos processus.

          Dependabot comportement par défaut :

Générez des noms de branche sous la forme suivante : dependabot/PACKAGE_MANAGER/DEPENDENCY

Quand pull-request-branch-name.separator est défini :

Utilisez le caractère spécifié à la place de /.

Valeurs prises en charge : "-", _, /

Conseil

Le symbole du trait d’union doit être échappé afin qu’il ne soit pas interprété comme le début d’une liste YAML vide.

          `rebase-strategy`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Désactivez le rebasage automatique des requêtes de tirage créées par Dependabot.

          Dependabot le comportement par défaut consiste à rebaser les demandes d'extraction ouvertes lorsque Dependabot détecte des modifications apportées à une version ou à une demande d'extraction de mise à jour de sécurité. 
          Dependabot vérifie les modifications quand :

Votre planification est en cours d’exécution pour vérifier les mises à jour de version.
Vous rouvrez une pull request fermée Dependabot.
Vous modifiez la valeur de target-branch dans le fichier de configuration Dependabot, voir target-branch.
Une Dependabot pull request est en conflit après un push récent dans la branche cible.

Lorsque rebase-strategy est défini sur disabled, Dependabot arrête de rebaser les requêtes de tirage.

Remarque

Les demandes de tirage qui étaient ouvertes avant la désactivation du rebasage continueront d’être rebasées jusqu’à 30 jours après leur ouverture. Cela concerne toutes les demandes de tirage qui présentent des conflits avec la branche cible et toutes les demandes de tirage pour les mises à jour de version.

          `registries`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Configurez l’accès aux registres de packages privés pour permettre Dependabot de mettre à jour un large éventail de dépendances, consultez Configuration de l’accès aux registres privés pour Dependabot et Aide pour la configuration des registres privés pour Dependabot.

Il y a deux endroits dans le fichier dependabot.yml où vous pouvez utiliser la clé registries :

Au niveau supérieur, où vous définissez les registres privés que vous souhaitez utiliser et leurs informations d’accès, consultez Configuration de l’accès aux registres privés pour Dependabot.

Dans les blocs updates, vous pouvez indiquer quels registres privés chaque gestionnaire de packages doit utiliser.

       Dependabot le comportement par défaut consiste à effectuer des pull requests uniquement pour mettre à jour les dépendances stockées dans les registres accessibles publiquement.

Lorsque le Dependabot fichier de configuration a une section de niveau registries supérieur, en définissant l’accès à un ou plusieurs registres privés, vous pouvez configurer chacun package-ecosystem pour utiliser un ou plusieurs de ces registres privés.

Quand registries est défini pour un gestionnaire de package :

Chaque registre privé spécifié pour un gestionnaire de packages est vérifié afin de détecter les mises à jour de version et de sécurité.

        Dependabot utilise les détails d’accès définis dans la section de niveau `registries` supérieur.

Valeurs prises en charge : REGISTRY_NAME ou "*"

          `reviewers`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Important

La propriété reviewers est en cours de fermeture et sera supprimée dans une prochaine version de GitHub Enterprise Server.

Vous pouvez également ajouter automatiquement des réviseurs et des bénéficiaires à l’aide d’un fichier CODEOWNERS. Consultez « À propos des propriétaires de code ».

Spécifier des réviseurs individuels ou des équipes de réviseurs pour toutes les demandes de tirage déclenchées pour un gestionnaire de package. Pour obtenir des exemples, consultez Personnalisation des demandes de tirage Dependabot pour les adapter à vos processus.

          Dependabot comportement par défaut :

Les demandes de tirage sont créées sans qu’aucun réviseur ne soit affecté.

Quand reviewers est défini :

        <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-versions" aria-label="versions" role="img"><path d="M7.75 14A1.75 1.75 0 0 1 6 12.25v-8.5C6 2.784 6.784 2 7.75 2h6.5c.966 0 1.75.784 1.75 1.75v8.5A1.75 1.75 0 0 1 14.25 14Zm-.25-1.75c0 .138.112.25.25.25h6.5a.25.25 0 0 0 .25-.25v-8.5a.25.25 0 0 0-.25-.25h-6.5a.25.25 0 0 0-.25.25ZM4.9 3.508a.75.75 0 0 1-.274 1.025.249.249 0 0 0-.126.217v6.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.75 1.75 0 0 1 3 11.25v-6.5c0-.649.353-1.214.874-1.516a.75.75 0 0 1 1.025.274ZM1.625 5.533h.001a.249.249 0 0 0-.126.217v4.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.748 1.748 0 0 1 0 10.25v-4.5a1.748 1.748 0 0 1 .873-1.516.75.75 0 1 1 .752 1.299Z"></path></svg> Toutes les pull requests pour les mises à jour de versions sont créées avec les réviseurs choisis.

        <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield-check" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg> Toutes les demandes de tirage pour les mises à jour de sécurité sont créées avec les réviseurs choisis, sauf si `target-branch` définit des mises à jour sur une branche non par défaut.

Les réviseurs doivent avoir au moins un accès en lecture au dépôt.

          `schedule`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates only" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
        

          **Option obligatoire.** Définissez la fréquence de vérification des nouvelles versions pour chaque gestionnaire de packages que vous configurez à l’aide du paramètre `interval`. Si vous le souhaitez, pour les intervalles quotidiens et hebdomadaires, vous pouvez paramétrer le moment où Dependabot vérifie les mises à jour. Pour obtenir des exemples, consultez [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/optimizing-pr-creation-version-updates).

Paramètres	Objectif
`interval`

          **Obligatoire.** Définit la fréquence pour Dependabot. |

`interval`

Valeurs prises en charge : daily, , weekly``monthly

Chaque gestionnaire de packages doit définir un intervalle de planification.

Utilisez daily pour exécuter tous les jours de la semaine, du lundi au vendredi.
Utilisez weekly pour exécuter une fois par semaine, par défaut le lundi.
Utilisez monthly pour exécuter le premier jour de chaque mois.

Par défaut, Dependabot assigne de façon aléatoire une heure pour appliquer toutes les mises à jour dans le fichier de configuration. Vous pouvez utiliser les paramètres time et timezone pour définir une durée d’exécution spécifique pour tous les intervalles.

`day`

Valeurs prises en charge : monday, tuesday, wednesday, thursday, friday, saturday ou sunday

Il est également possible d’exécuter des mises à jour hebdomadaires pour un gestionnaire de packages un jour spécifique de la semaine.

`time`

Format : hh:mm

Il est également possible d’exécuter toutes les mises à jour d’un gestionnaire de packages à une heure précise de la journée. Par défaut, les heures sont exprimées en UTC.

`timezone`

Spécifiez un fuseau horaire pour la valeur time. Le fuseau horaire par défaut est UTC.

L’identificateur de fuseau horaire doit correspondre à un fuseau horaire figurant dans la base de données gérée par iana, consultez Liste des fuseaux horaires de la base de données tz.

          `target-branch`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates only" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>

Définissez une branche spécifique pour vérifier les mises à jour de version et cibler les demandes d’extraction pour les mises à jour de version. Pour obtenir des exemples, consultez Personnalisation des demandes de tirage Dependabot pour les adapter à vos processus.

          Dependabot comportement par défaut :

* Dependabot utilise la branche par défaut pour le référentiel, consultez À propos de la branche par défaut.

Quand target-branch est défini :

Seuls les fichiers manifestes de la branche cible sont vérifiés pour les mises à jour de version.
Toutes les demandes de tirage pour les mises à jour de version sont ouvertes en ciblant la branche spécifiée.
Les options définies pour ce package-ecosystem ne s’appliquent plus aux mises à jour de sécurité, car celles-ci utilisent toujours la branche par défaut du référentiel.

          `exclude-paths`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates only" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>

Permet de spécifier les chemins d’accès des répertoires et des fichiers qui Dependabot doivent être ignorés lors de l’analyse des manifestes et des dépendances. Cette option est utile lorsque vous souhaitez empêcher les mises à jour des dépendances dans certains emplacements, tels que les ressources de test, le code fourni par des fournisseurs ou des fichiers spécifiques.

          Dependabot comportement par défaut :

Tous les répertoires et fichiers dans le répertoire spécifié directory sont inclus dans l’analyse de mise à jour, sauf s’ils sont exclus par cette option.

Quand exclude-paths est défini :

Tous les fichiers et répertoires correspondant aux chemins spécifiés sont ignorés lors des analyses de mise à jour pour l’entrée package-ecosystem donnée.

Paramètre	Objectif
`exclude-paths`	Une liste de modèles globaux pour les fichiers ou répertoires à ignorer.

Les modèles globaux sont pris en charge, tels que ** pour la correspondance récursive et * pour les caractères génériques à segment unique. Les modèles sont relatifs à la balise directory spécifiée pour la configuration de mise à jour. Chaque écosystème peut disposer de ses propres paramètres exclude-paths.

Example

YAML

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    exclude-paths:
      - "src/test/assets"
      - "vendor/**"
      - "src/*.js"
      - "src/test/helper.js"

# Sample patterns that can be used-

# Pattern: docs/*.json
# Matches: docs/foo.json, docs/bar.json

# Pattern: *.lock
# Matches: Gemfile.lock, package.lock, foo.lock (in any directory)

# Pattern: test/**
# Matches: test/foo.rb, test/bar/baz.rb, test/any/depth/file.txt

# Pattern: config/settings.yml
# Matches: config/settings.yml

# Pattern: **/*.md
# Matches: README.md, docs/guide.md, any/depth/file.md

# Pattern: src/*
# Matches: src/main.rb, src/app.js
# Does NOT match: src/utils/helper.rb

# Pattern: hidden/.*
# Matches: hidden/.env, hidden/.secret

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    exclude-paths:
      - "src/test/assets"
      - "vendor/**"
      - "src/*.js"
      - "src/test/helper.js"

# Sample patterns that can be used-

# Pattern: docs/*.json
# Matches: docs/foo.json, docs/bar.json

# Pattern: *.lock
# Matches: Gemfile.lock, package.lock, foo.lock (in any directory)

# Pattern: test/**
# Matches: test/foo.rb, test/bar/baz.rb, test/any/depth/file.txt

# Pattern: config/settings.yml
# Matches: config/settings.yml

# Pattern: **/*.md
# Matches: README.md, docs/guide.md, any/depth/file.md

# Pattern: src/*
# Matches: src/main.rb, src/app.js
# Does NOT match: src/utils/helper.rb

# Pattern: hidden/.*
# Matches: hidden/.env, hidden/.secret

Dans cet exemple, Dependabot ignore le src/test/assets répertoire, tous les fichiers sous vendor/, tous les fichiers JavaScript directement sous src/, et le fichier src/test/helper.js spécifique lors de l’analyse des mises à jour.

          `vendor`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Pris en charge par : bundler et gomod uniquement.

Dites Dependabot de gérer vos dépendances de fournisseur ainsi que les dépendances définies par les fichiers de manifeste. Une dépendance est décrite comme « fournie » ou « mise en cache » lorsque vous stockez le code dans votre référentiel, consultez documentation bundle cache et documentation go mod vendor.

Pour obtenir des exemples, consultez Contrôle des dépendances mises à jour par Dependabot.

          Dependabot comportement par défaut :

Conservez uniquement les dépendances enregistrées dans le manifeste et les fichiers de verrouillage identifiés pour Bundler.
Lancez des demandes de mise à jour de sécurité et de version qui actualisent les numéros de version enregistrés dans les fichiers manifestes et verrouillés.
Pour les modules Go, toutes les dépendances vendues sont automatiquement identifiées et gérées comme si vendor était activé.

Quand vendor est activé :

        Dependabot gère également les dépendances pour Bundler stockées dans le  `_vendor/cache_` répertoire du référentiel.

Les demandes d’extraction peuvent parfois contenir des mises à jour d’une dépendance stockée dans le référentiel.

Valeurs prises en charge : true ou false

          `versioning-strategy`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Pris en charge par : bundler, , cargo``composer, mix, npm, pipetpub

Définissez comment Dependabot doit modifier les fichiers manifestes. Pour obtenir des exemples, consultez Contrôle des dépendances mises à jour par Dependabot.

          Dependabot comportement par défaut :

Essayez de faire la distinction entre les dépendances des applications et celles des bibliothèques.
Pour les applications, augmentez systématiquement la version minimale requise afin qu’elle corresponde à la nouvelle version. La stratégie increase.
Pour les bibliothèques, élargissez les exigences relatives aux versions autorisées afin d’inclure à la fois les nouvelles et les anciennes versions, lorsque cela est possible. La stratégie widen.

Quand versioning-strategy est définie, Dependabot utilise la stratégie spécifiée.

Valeur	Comportement
`auto`	Comportement par défaut.
`increase`	Augmentez systématiquement l’exigence de version minimum pour qu’elle corresponde à la nouvelle version. Si une plage existe déjà, ceci va en général seulement augmenter la limite inférieure.
`increase-if-necessary`	Laissez la version requise inchangée si elle autorise déjà la nouvelle version (Dependabot met toujours à jour la version résolue). Sinon, élargissez l’exigence.
`lockfile-only`	Créer uniquement des demandes de tirage pour mettre à jour les fichiers de verrouillage. Ignorer toutes les nouvelles versions qui nécessitent des modifications du manifeste de package.
`widen`	Élargir les exigences de version autorisée pour inclure à la fois la nouvelle et l’ancienne versions, si possible. En règle générale, cela augmente uniquement l’exigence maximale autorisée pour la version.

Par exemple, si la version actuelle est 1.0.0 et que la contrainte actuelle est ^1.0.0, les différentes stratégies entraîneraient les mises à jour suivantes :

Nouvelle version 1.2.0

        `increase` : nouvelle contrainte `^1.2.0`

        `increase-if-necessary` : nouvelle contrainte `^1.0.0`

        `widen` : nouvelle contrainte `^1.0.0`

Nouvelle version 2.0.0

        `increase` : nouvelle contrainte `^2.0.0`

        `increase-if-necessary` : nouvelle contrainte `^2.0.0`

        `widen` : nouvelle contrainte `>=1.0.0 <3.0.0`

Remarque

Si le gestionnaire de package que vous utilisez ne prend pas encore en charge la configuration du paramètre versioning-strategy ou ne prend pas en charge une valeur dont vous avez besoin, le code de stratégie est open source. Par conséquent, si vous souhaitez qu'un écosystème particulier puisse prendre en charge une nouvelle stratégie, vous êtes toujours bienvenu pour envoyer une demande de tirage dans https://github.com/dependabot/dependabot-core/.

Balises de contrôle de version

Représentez les étapes du cycle de vie des versions logicielles, telles que les versions alpha, bêta et stables.
Permettez aux éditeurs de distribuer leurs packages de manière plus efficace.
Indiquez la stabilité d’une version et communiquez aux utilisateurs ce à quoi ils peuvent s’attendre en termes de fonctionnalités et de stabilité.

Dependabot reconnaît une variété de balises de version pour les pré-versions, les versions stables et les balises personnalisées à travers différents écosystèmes.

Le fichier dependabot.yml ne contrôle pas les balises de contrôle de version que vous pouvez utiliser, mais vous pouvez définir dans des options de configuration telles que ignore les balises de contrôle de version prises en charge pour lesquelles vous souhaitez ignorer les mises à jour.

Stratégies de versioning prises en charge

| Gestionnaire de package | Valeur YAML | Tags supportés | Exemples | |---------------------|----------------|--------------------|--------------| | Maven | maven | alpha, a, beta, b, milestone, m, rc, cr, sp, ga, final, release, snapshot | spring-security-web@5.6.0-SNAPSHOT, spring-core@5.2.0.RELEASE | | npm | npm | alpha, beta, canary, dev, experimental, latest, legacy, next, nightly, rc, release, stable | lodash@beta, react@latest``express@next | | pnpm | npm | alpha, beta, canary, dev, experimental, latest, legacy, next, nightly, rc, release, stable | lodash@1.2.0-alpha, react@alpha``vue@next | | yarn | npm | alpha, beta, canary, dev, experimental, latest, legacy, next, nightly, rc, release, stable | lodash@1.2.0-alpha, axios@latest``moment@nightly |

Glossaire des balises de contrôle de version

        **
        `alpha` :** version anticipée, peut être instable et comporter des fonctionnalités incomplètes.

        **
        `beta` :** plus stable que la version alpha, mais peut encore contenir des bugs.

        **
        `canary` :** version préliminaire régulièrement mise à jour à des fins de test.

        **
        `dev` :** représente les versions de développement.

        **
        `experimental` :** versions comportant des fonctionnalités expérimentales.

        **
        `latest` :** dernière version stable.

        **
        `legacy` :** versions antérieures ou obsolètes.

        **
        `next` :** version de publication à venir.

        **
        `nightly` :** versions compilées chaque nuit ; incluent souvent les dernières modifications.

        **
        `rc` :** version candidate, proche de la version stable.

        **
        `release` :** version officielle de la version.

        **
        `stable` :** version la plus fiable, prête pour la production.

Clé `registries` de niveau supérieur

Spécifiez les détails d’authentification qui Dependabot peuvent être utilisés pour accéder aux registres de packages privés, y compris les registres hébergés par GitLab ou Bitbucket.

Remarque

Les registres privés derrière des pare-feu sur des réseaux privés sont pris en charge pour les écosystèmes suivants :

Bundler
Cargo
Docker
Gradle
Maven
Npm
NuGet
Pub
Python
Yarn

La valeur de la clé registries est un tableau associatif, dont chaque élément se compose d’une clé qui identifie un registre particulier et d’une valeur qui est un tableau associatif spécifiant les paramètres requis pour accéder à ce registre. Dans le fichier dependabot.yml suivant, un registre identifié comme dockerhub est configuré dans la section registries, puis référencé dans la section updates.

YAML

# Minimal settings to update dependencies stored in one private registry

version: 2
registries:
  dockerhub: # Define access for a private registry
    type: docker-registry
    url: registry.hub.docker.com
    username: octocat
    password: ${{secrets.DOCKERHUB_PASSWORD}}
updates:
  - package-ecosystem: "docker"
    directory: "/docker-registry/dockerhub"
    registries:
      - dockerhub # Allow version updates for dependencies in this registry
    schedule:
      interval: "monthly"

# Minimal settings to update dependencies stored in one private registry

version: 2
registries:
  dockerhub: # Define access for a private registry
    type: docker-registry
    url: registry.hub.docker.com
    username: octocat
    password: ${{secrets.DOCKERHUB_PASSWORD}}
updates:
  - package-ecosystem: "docker"
    directory: "/docker-registry/dockerhub"
    registries:
      - dockerhub # Allow version updates for dependencies in this registry
    schedule:
      interval: "monthly"

Vous utilisez les options suivantes pour spécifier les paramètres d’accès. Les paramètres de registre doivent contenir un type et une url et généralement soit une combinaison d’un username et d’un password, soit un token.

Paramètres	Objectif
`REGISTRY_NAME`	Obligatoire : définit un identificateur pour le Registre.
`type`	Obligatoire : identifie le type de registre.
Informations sur l’authentification	Obligatoire : les paramètres pris en charge pour fournir les détails de l’authentification varient selon les registres de différents types.
`url`	Obligatoire : l’URL à utiliser pour accéder aux dépendances dans ce registre. Le protocole est facultatif. S’il n’est pas renseigné, la valeur `https://` est supposée. Dependabot ajoute ou ignore les barres obliques de fin selon les besoins.
`replaces-base`	Si la valeur booléenne est `true`, Dependabot résout les dépendances en utilisant le `url` spécifié plutôt que l’URL de base de cet écosystème spécifique.

Pour des informations détaillées sur les options disponibles, ainsi que des recommandations et des conseils sur la configuration des registres privés, consultez Aide pour la configuration des registres privés pour Dependabot.

          `type` et détails de l’authentification

Les paramètres utilisés pour fournir les informations d’authentification permettant d’accéder à un registre privé varient en fonction du registre type.

Registre `type`	Paramètres d’authentification requis
`cargo-registry`	`token`
`composer-repository`

          `username` et `password`<br>ou OIDC avec `tenant-id` et `client-id` |

Toutes les données sensibles utilisées pour l’authentification doivent être stockées de manière sécurisée et référencées à partir de cet emplacement sécurisé, consultez Configuration de l’accès aux registres privés pour Dependabot.

Conseil

Si le compte est celui GitHub, vous pouvez utiliser un GitHub personal access token à la place du mot de passe.

Pour plus d’informations sur la prise en charge d’OIDC pour Dependabot, consultez OpenID Connect et Configuration de l’accès aux registres privés pour Dependabot.

          `url` et `replaces-base`

Le paramètre url définit où accéder à un registre. Lorsque le paramètre facultatif replaces-base est activé (true), Dependabot résout les dépendances à l’aide de la valeur de url plutôt que de l’URL de base de cet écosystème spécifique.

Qui peut utiliser cette fonctionnalité ?

Dans cet article

Clés obligatoires

`prefix`

`prefix-development`

`include`

`interval`

`day`

`time`

`timezone`

Example

Balises de contrôle de version

Stratégies de versioning prises en charge

Glossaire des balises de contrôle de version

Clé `registries` de niveau supérieur