O arquivo dependabot.yml é um arquivo de configuração opcional que dá a você controle detalhado sobre como Dependabot monitora e atualiza dependências (principalmente atualizações de versão, mas também atualizações de segurança) no seu repositório.
Sem um arquivo dependabot.yml, Dependabot ainda poderá criar atualizações de segurança para dependências vulneráveis caso você tenha ativado Dependabot security updates em suas configurações de repositório. No entanto, você não receberá atualizações de versão automatizadas ou terá controle sobre agendas de atualização e outras opções de configuração.
O dependabot.yml arquivo usa a sintaxe YAML. Se você não estiver familiarizado com o YAML e quiser saber mais, consulte Aprender a usar o YAML em cinco minutos.
Observação
Dependabot alerts são configurados na guia "Configurações" do repositório ou da organização e não no arquivo dependabot.yml; consulte Configurando alertas do Dependabot.
O que o dependabot.yml arquivo faz
O arquivo dependabot.yml controla como Dependabot executa atualizações em suas dependências. Com este arquivo, você pode:
Para atualizações de versão
- Habilitar atualizações de versão automatizadas
- Especificar quais ecossistemas e diretórios de pacotes monitorar
- Definir agendamentos de atualização
- Personalizar rótulos de solicitação de pull, atribuições, revisores e mensagens do commit
- Controlar quais dependências atualizar ou ignorar
- Configurar a autenticação para registros privados
Para atualizações de segurança
- Personalizar solicitações de pull de atualização de segurança com rótulos, atribuidores e revisores
- Definir branches de destino para atualizações de segurança
- Configurar a autenticação de registro privado
- Definir limites em solicitações de pull abertas
Onde armazenar o dependabot.yml arquivo
Você deve armazenar esse arquivo no diretório .github do seu repositório no branch padrão (normalmente main). O caminho é: .github/dependabot.yml.
Como o dependabot.yml arquivo funciona
Quando você adiciona ou atualiza o arquivo dependabot.yml em seu repositório, Dependabot lê a configuração e começa a monitorar os ecossistemas de pacotes especificados de acordo com seus agendamentos definidos. Quando Dependabot encontra atualizações disponíveis, ele cria pull requests com as alterações de dependência, seguindo as regras de personalização especificadas na configuração.
O arquivo de configuração requer as seguintes chaves para cada ecossistema de pacotes a ser monitorado.
-
** `version` **: campo de nível superior que especifica a versão da sintaxe de configuração do Dependabot. -
** `updates` **: seção de nível superior em que você define cada ecossistema de pacotes a ser monitorado para atualizações. -
** `package-ecosystem` **: definido em `updates`, especifica qual gerenciador de pacotes atualizar (como npm, pip ou Docker). -
** `directories` ou `directory`**: definido em cada entrada `package-ecosystem`, especifica o local dos arquivos de definição de manifesto ou dependência. -
** `schedule.interval` **: definido em cada `package-ecosystem` entrada, define com que frequência verificar se há atualizações de versão (`daily`ou`weekly``monthly`).
Exemplo básico
Aqui está um arquivo mínimo dependabot.yml que monitora as dependências do npm diariamente:
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
Próxima etapa
- Configurar seu repositório para que o Dependabot atualize automaticamente os pacotes usados, consulte Configuração de atualizações de versão do Dependabot