Configuração de atualizações de versão do Dependabot

Você pode configurar seu repositório para que o Dependabot atualize automaticamente os pacotes que você usa.

Quem pode usar esse recurso?

Users with write access

Neste artigo

Habilitar Dependabot version updates

Habilite as Dependabot version updates fazendo commit de um arquivo de configuração dependabot.yml no repositório. Se você habilitar o recurso na página de configurações, o GitHub criará um arquivo básico que você poderá editar, caso contrário, crie o arquivo usando qualquer editor de arquivos.

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Security" da barra lateral, clique em Advanced Security.

  4. Em "Dependabot", à direita de "Dependabot version updates", clique em Enable para abrir um arquivo de configuração dependabot.yml básico no diretório .github do seu repositório. For information about the options you can use to customize how Dependabot maintains your repositories, see Referência de opções do Dependabot.

    YAML
    # To get started with Dependabot version updates, you'll need to specify which
# package ecosystems to update and where the package manifests are located.

version: 2
updates:
- package-ecosystem: "" # See documentation for possible values
  directory: "/" # Location of package manifests
  schedule:
    interval: "weekly"

  5. Adicione uma version. Essa chave é obrigatória. O arquivo precisa começar com version: 2.

  6. Opcionalmente, se você tiver dependências em um registro privado, adicione uma seção registries contendo detalhes de autenticação. Para saber mais, confira Configurando o acesso a registros privados para Dependabot.

  7. Adicione uma seção updates, com uma entrada para cada gerenciador de pacotes que você deseja que o Dependabot monitore. Essa chave é obrigatória. Você a utiliza para configurar como Dependabot atualiza as versões ou as dependências do seu projeto. Cada entrada configura as configurações de atualização para um gerenciador de pacotes específico. Para saber mais, confira Sobre o arquivo dependabot.yml e Referência de opções do Dependabot.

  8. Para cada gerenciador de pacotes, use:

    •     `package-ecosystem` para especificar o gerenciador de pacotes. Para obter mais informações sobre os gerenciadores de pacotes suportados, consulte [`package-ecosystem`](/code-security/dependabot/working-with-dependabot/dependabot-options-reference#package-ecosystem-).

    •     `directories` ou `directory` para especificar o local de vários manifestos ou outros arquivos de definição. Para obter mais informações, confira [Como definir vários locais para arquivos de manifesto](/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#defining-multiple-locations-for-manifest-files).

    •     `schedule.interval`: especifica a frequência com a qual novas versões são verificadas.

  9. Verifique o arquivo de configuração dependabot.yml no diretório .github do repositório.

Arquivo de exemplo dependabot.yml

O arquivo de exemplo dependabot.yml abaixo configura atualizações de versão para três gerenciadores de pacotes: npm, Docker e GitHub Actions. Quando este arquivo é marcado, o Dependabot verifica os arquivos de manifesto no branch padrão buscando dependências desatualizadas. Se encontrar dependências desatualizadas, irá gerar pull requests em relação ao branch padrão para atualizar as dependências.

YAML
# Basic `dependabot.yml` file with
# minimum configuration for three package managers

version: 2
updates:
  # Enable version updates for npm
  - package-ecosystem: "npm"
    # Look for `package.json` and `lock` files in the `root` directory
    directory: "/"
    # Check the npm registry for updates every day (weekdays)
    schedule:
      interval: "daily"

  # Enable version updates for Docker
  - package-ecosystem: "docker"
    # Look for a `Dockerfile` in the `root` directory
    directory: "/"
    # Check for updates once a week
    schedule:
      interval: "weekly"

  # Enable version updates for GitHub Actions
  - package-ecosystem: "github-actions"
    # Workflow files stored in the default location of `.github/workflows`
    # You don't need to specify `/.github/workflows` for `directory`. You can use `directory: "/"`.
    directory: "/"
    schedule:
      interval: "weekly"

No exemplo acima, se as dependências do Docker estavam muito desatualizadas, o ideal é começar com um agendamento daily até que as dependências estejam atualizadas e retornar a um agendamento semanal.

Habilitando atualizações da versão em bifurcações

Se você quiser habilitar atualizações de versão nas bifurcações, há um passo extra. As atualizações de versão não são habilitadas automaticamente em forks quando um arquivo de configuração dependabot.yml está presente. Isso garante que os proprietários do fork não habilitem acidentalmente as atualizações de versão quando efetuarem pull de alterações, incluindo um arquivo de configuração dependabot.yml do repositório original.

Em uma bifurcação, você também precisa habilitar explicitamente Dependabot.

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Security" da barra lateral, clique em Advanced Security.

  4. Em "Dependabot", à direita de "Dependabot version updates", clique em Enable para permitir que Dependabot inicie atualizações de versão.

Recebendo atualizações para dependências indiretas

Por padrão, somente as dependências diretas definidas de forma explícita em um manifesto são mantidas atualizadas por Dependabot version updates. Você pode optar por receber atualizações de dependências indiretas definidas em arquivos de bloqueio. Para saber mais, confira Como controlar quais dependências são atualizadas pelo Dependabot.

Habilitando o acesso a dependências privadas

Ao executar atualizações de segurança ou versão, alguns ecossistemas devem ser capazes de resolver todas as dependências de sua fonte para verificar se as atualizações foram bem-sucedidas. Se o seu manifesto ou arquivos de bloqueio contiverem dependências privadas, Dependabot deverá ser capaz de acessar o local em que essas dependências estão hospedadas. Os proprietários da organização podem conceder a Dependabot acesso a repositórios privados que contêm dependências para um projeto dentro da mesma organização. Para saber mais, confira Gerenciando as configurações de segurança e de análise da sua organização. Você pode configurar o acesso a registros privados no arquivo de configuração dependabot.yml de um repositório. Para saber mais, confira Configurando o acesso a registros privados para Dependabot.

Além disso, Dependabot não é compatível com as dependências privadas de GitHub para todos os gerenciadores de pacote. Para saber mais, confira Ecossistemas e repositórios compatíveis com o Dependabot e Suporte a linguagem do GitHub.

Verificando o status das atualizações da versão

Depois de habilitar as atualizações de versão, a guia Dependabot no grafo de dependência do repositório será preenchida. Esta aba mostra quais gerentes de pacote de Dependabot estão configurados para monitorar e quando Dependabot fez a última verificação com relação a novas versões.

Captura de tela da página do Grafo de dependência. Uma guia, intitulada "Dependabot", está realçada com um contorno laranja.

Para obter mais informações, confira Listando dependências configuradas para atualizações da versão.

Desabilitar Dependabot version updates

Você pode desabilitar por completo as atualizações de versão excluindo o arquivo dependabot.yml do repositório. Mais usualmente, você deseja desabilitar as atualizações temporariamente para uma ou mais dependências, ou gerenciadores de pacotes.

  • Gerenciadores de pacotes: desabilite-os definindo open-pull-requests-limit: 0 ou removendo a linha de comentário de package-ecosystem relevante no arquivo de configuração.
  • Dependências específicas: desabilite-as adicionando atributos ignore a pacotes ou a aplicativos que você deseja excluir das atualizações.

Quando você desabilita dependências, você pode usar cartões curingas para corresponder a um conjunto de bibliotecas relacionadas. Você também pode especificar quais versões excluir. Isso é particularmente útil se você precisa bloquear atualizações de uma biblioteca, deixando pendente trabalho para suportar uma alteração quebrada na sua API, mas quer obter qualquer correção de segurança para a versão que você usa.

Exemplo de desabilitação de atualizações de versão para algumas dependências

O exemplo de arquivo dependabot.yml abaixo inclui exemplos das diferentes maneiras de desabilitar as atualizações em algumas dependências, permitindo que outras atualizações continuem.

# `dependabot.yml` file with updates
# disabled for Docker and limited for npm

version: 2
updates:
  # Configuration for Dockerfile
  - package-ecosystem: "docker"
    directory: "/"
    schedule:
      interval: "weekly"
      # Disable all pull requests for Docker dependencies
    open-pull-requests-limit: 0

  # Configuration for npm
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
    ignore:
      # Ignore updates to packages that start with 'aws'
      # Wildcards match zero or more arbitrary characters
      - dependency-name: "aws*"
      # Ignore some updates to the 'express' package
      - dependency-name: "express"
        # Ignore only new versions for 4.x and 5.x
        versions: ["4.x", "5.x"]
      # For all packages, ignore all patch updates
      - dependency-name: "*"
        update-types: ["version-update:semver-patch"]

Para saber mais sobre como verificar as preferências de ignorar existentes, confira Referência de opções do Dependabot.