Maintenir vos actions à jour avec Dependabot

Vous pouvez utiliser Dependabot pour maintenir les actions que vous utilisez à jour dans les dernières versions.

Qui peut utiliser cette fonctionnalité ?

Users with write access

Dans cet article

Remarque

Votre administrateur de site doit configurer les Dependabot updates pour votre instance GitHub Enterprise Server afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez Activation de Dependabot pour votre entreprise.

Il se peut que vous ne puissiez pas activer ou désactiver Dependabot updates si le propriétaire de l'entreprise a défini une politique au niveau de l'entreprise. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».

Quand vous activez les Dependabot version updates pour GitHub Actions, Dependabot permet de garantir que les références aux actions dans le fichier workflow.yml d’un référentiel et les workflows réutilisables utilisés dans des workflows sont maintenus à jour. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».

Activation des Dependabot version updates pour les actions

  1. Si vous avez déjà activé les Dependabot version updates pour d’autres écosystèmes ou gestionnaires de packages, ouvrez simplement le fichier dependabot.yml existant. Sinon, créez un fichier de configuration dependabot.yml dans le répertoire .github de votre référentiel. Pour plus d’informations, consultez « Configuration de mises à jour de version Dependabot ».
  2. Spécifiez "github-actions" comme élément package-ecosystem à superviser.
  3. Définissez directory sur "/" pour rechercher les fichiers de workflow dans .github/workflows.
  4. Définissez un schedule.interval pour spécifier la fréquence à laquelle rechercher les nouvelles versions.
  5. Vérifiez le fichier de configuration dependabot.yml dans le répertoire .github du référentiel. Si vous avez modifié un fichier existant, enregistrez vos modifications.

Vous pouvez également activer les Dependabot version updates sur les duplications (fork). Pour plus d’informations, consultez « Configuration de mises à jour de version Dependabot ».

Exemple de fichier dependabot.yml pour GitHub Actions

L’exemple de fichier dependabot.yml ci-dessous configure les mises à jour de version pour GitHub Actions. directory doit être défini sur "/" pour rechercher les fichiers de workflow dans .github/workflows. La propriété schedule.interval a la valeur "weekly". Une fois ce fichier archivé ou mis à jour, Dependabot recherche les nouvelles versions de vos actions. Dependabot déclenche des demandes de tirage pour les mises à jour de version pour toutes les actions obsolètes qu’il trouve. Après les mises à jour de la version initiale, Dependabot continue à rechercher les versions obsolètes des actions une fois par semaine.

YAML
# Set update schedule for GitHub Actions

version: 2
updates:

  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      # Check for updates to GitHub Actions every week
      interval: "weekly"

Configuration des Dependabot version updates pour les actions

Quand vous activez les Dependabot version updates pour les actions, vous devez spécifier des valeurs pour package-ecosystem, directoryet schedule.interval. Il existe de nombreuses propriétés facultatives que vous pouvez définir pour personnaliser davantage vos mises à jour de version. Pour plus d’informations, consultez « Référence des options Dependabot ».

Lectures complémentaires

  •         [AUTOTITLE](/actions/learn-github-actions)