Sobre solicitações de pull do Dependabot

Entenda as opções de frequência e personalização de solicitações pull para atualizações de versão e segurança.

Neste artigo

Solicitações de pull para atualizações de segurança

Se você tiver habilitado atualizações de segurança, as solicitações de pull para atualizações de segurança serão disparadas por um alerta Dependabot para uma dependência em sua ramificação padrão. Dependabot gera automaticamente um pull request para atualizar a dependência vulnerável.

Cada pull request contém tudo o que você precisa para revisar mesclar, de forma rápida e segura, uma correção proposta em seu projeto. Isto inclui informações sobre a vulnerabilidade como, por exemplo, notas de lançamento, entradas de registros de mudanças e detalhes do commit. Detalhes de quais vulnerabilidades são resolvidas por um pull request de qualquer pessoa que não tem acesso a Dependabot alerts para o repositório.

Ao fazer merge de um pull request que contém uma atualização de segurança, o alerta de Dependabot correspondente é marcado como resolvido no seu repositório. Para obter mais informações sobre pull requests do Dependabot, consulte Gerenciar pull requests para atualizações de dependências.

Observação

É uma prática recomendada ter testes automatizados e processos de aceitação em vigor para que as verificações sejam realizadas antes da mesclagem da pull request. Isso é especialmente importante se a versão sugerida a ser atualizada contiver funcionalidades adicionais ou se uma mudança que quebrar o código do seu projeto. Para saber mais sobre a integração contínua, confira Integração contínua.

Personalizando solicitações de pull para atualizações de segurança

Você pode personalizar como o Dependabot gera pull requests para atualizações de segurança, de modo que atendam melhor aos processos e às prioridades de segurança do seu projeto. Por exemplo: * Otimize as pull requests do Dependabot para priorizar atualizações significativas agrupando várias atualizações em uma única pull request.

  • Aplique rótulos personalizados para integrar as solicitações de pull do Dependabot aos seus fluxos de trabalho existentes.

De forma semelhante às atualizações de versão, as opções de personalização para atualizações de segurança são definidas no arquivo dependabot.yml. Se você já personalizou o dependabot.yml para atualizações de versão, muitas das opções de configuração definidas também poderão ser aplicadas automaticamente às atualizações de segurança. No entanto, há alguns pontos importantes a serem observados:

  • As Dependabot security updates são sempre acionadas por um aviso de segurança, em vez de serem executadas de acordo com o schedule definido no dependabot.yml para atualizações de versão.
  • O Dependabot gera pull requests para atualizações de segurança somente na ramificação padrão. Se a sua configuração definir um valor para target-branch, a personalização desse ecossistema de pacotes só se aplicará às atualizações de versão por padrão.

Para saber mais, confira Personalizar pull requests para atualizações de segurança do Dependabot.

Solicitações de pull para atualizações de versão

Para atualizações de versão, especifique com que frequência cada ecossistema deve verificar se há novas versões no arquivo de configuração: diárias, semanais ou mensais.

Quando você habilitar atualizações de versão pela primeira vez, você pode ter muitas dependências que estão desatualizadas e algumas podem ser muitas versões por trás da versão mais recente. O Dependabot verifica as dependências desatualizadas assim que estiver habilitado. Você pode ver novas pull requests para atualizações de versão dentro de alguns minutos após adicionar o arquivo de configuração, dependendo do número de arquivos de manifesto para os quais você configura as atualizações. Dependabot também será executada uma atualização sobre as alterações subsequentes no arquivo de configuração.

Para manter as solicitações de pull gerenciáveis e fáceis de serem revisadas, o Dependabot gera, no máximo, cinco solicitações de pull para começar a trazer as dependências para a última versão. Se você fizer o merge de algumas desses primeiros pull requests antes da próxima atualização programada, Os pull requests restantes serão abertos na próxima atualização, até o máximo. Você pode alterar o número máximo de solicitações de pull em aberto definindo a opção de configuração open-pull-requests-limit.

Para reduzir ainda mais o número de solicitações de pull que você está vendo, você pode usar a opção de configuração groups para agrupar conjuntos de dependências (por ecossistema de pacote). Em seguida, o Dependabot gera uma única solicitação de pull para atualizar o máximo de dependências possível no grupo para as versões mais recentes ao mesmo tempo. Para obter mais informações, consulte Otimizando a criação de pull requests para atualizações de versão do Dependabot.

Comandos para solicitações de pull de Dependabot

O Dependabot responde a comandos simples nos comentários. Cada pull request contém detalhes dos comandos que você pode usar para processar a pull request (por exemplo: fazer merge, combinação por squash, abrir, fechar ou rebasear a pull request) na seção "comandos e opções de Dependabot". O objetivo é facilitar ao máximo a triagem dessas pull requests geradas automaticamente. Para saber mais, confira Comandos de comentário de solicitação de pull do Dependabot.