Enterprise Server 3.20 está disponível no momento como versão candidata a lançamento.

Sobre as atualizações da versão do Dependabot

Você pode usar o Dependabot para manter os pacotes que usa atualizados para as versões mais recentes.

Quem pode usar esse recurso?

O Dependabot version updates está disponível para os seguintes repositórios:

  • Todos os repositórios no GitHub Enterprise Server

Neste artigo

Observação

O administrador do site precisa configurar as Dependabot updates do sua instância do GitHub Enterprise Server para que você possa usar esse recurso. Para saber mais, confira Habilitando o Dependabot para sua empresa.

Talvez você não consiga habilitar ou desabilitar Dependabot updates se um proprietário da empresa tiver definido uma política no nível da empresa. Para saber mais, confira Como impor políticas para segurança e análise de código na empresa.

Sobre as Dependabot version updates

O Dependabot facilita a manutenção de suas dependências. Você pode usá-lo para garantir que seu repositório se mantenha atualizado automaticamente com as versões mais recentes dos pacotes e aplicações do qual ele depende.

Quando o Dependabot gera solicitações de pull, essas solicitações de pull podem ser referentes a atualizações de segurança ou de versão:

  • As Dependabot security updates são solicitações de pull automatizadas que ajudam você a atualizar as dependências com vulnerabilidades conhecidas.
  • As Dependabot version updates são solicitações de pull automatizadas que mantêm suas dependências atualizadas, mesmo quando elas não têm nenhuma vulnerabilidade. Para verificar o status das atualizações da versão, acesse a aba Insights do seu repositório e, em seguida, selecione Grafo de Dependência e Dependabot.

Habilite as Dependabot version updates fazendo o check-in de um arquivo de configuração dependabot.yml em seu repositório.

Atualizações de pacotes

O dependabot.yml arquivo de configuração especifica o local do manifesto ou de outros arquivos de definição de pacote, armazenados em seu repositório. O Dependabot usa essas informações para verificar se há pacotes e aplicativos desatualizados. O Dependabot determina se há uma nova versão de uma dependência examinando o semver (controle de versão semântica) da dependência para decidir se ela deve ser atualizada para essa versão. Para saber mais sobre os repositórios e ecossistemas com suporte, confira Ecossistemas e repositórios compatíveis com o Dependabot.

O arquivo dependabot.yml também pode ser configurado para dizer a Dependabot como manter suas dependências. Para saber mais, confira Sobre o arquivo dependabot.yml.

Para certos gerentes de pacote, Dependabot version updates também é compatível com armazenamento. Dependências de vendor (ou armazenadas) são dependências registradas em um diretório específico em um repositório, em vez de referenciadas em um manifesto. Dependências de vendor estão disponíveis no tempo de criação, ainda que os servidores de pacote estejam indisponíveis. Dependabot version updates pode ser configurado para verificar as dependências de vendor para novas versões e atualizá-las, se necessário.

Quando o Dependabot identifica uma dependência desatualizada, ele gera uma solicitação de pull para atualizar o manifesto para a última versão da dependência. Para dependências de vendor, Dependabot levanta um pull request para substituir diretamente a dependência desatualizada pela nova versão. Você verifica se os seus testes passam, revisa o changelog e lança observações incluídas no resumo do pull request e, em seguida, faz a mesclagem. Para saber mais, confira Configuração de atualizações de versão do Dependabot.

Se você habilitar as atualizações de segurança, o Dependabot também vai gerar solicitações de pull para atualizar as dependências vulneráveis. Para saber mais, confira Sobre as atualizações de segurança do Dependabot.

Atualizações para ações

Ações são frequentemente atualizadas com correções de bugs e novos recursos para tornar os processos automatizados mais confiáveis, mais rápidos e mais seguros. Ao habilitar Dependabot version updates para GitHub Actions, Dependabot ajudará a garantir que as referências às ações no arquivo workflow.yml de um repositório e aos fluxos de trabalho reutilizáveis ​​usados ​​dentro de outros fluxos de trabalho sejam mantidas atualizadas.

Para cada ação no arquivo, o Dependabot verifica a referência da ação (tipicamente, um número de versão ou um identificador de commit associado à ação) em relação à última versão. Se uma última versão da ação estiver disponível, o Dependabot enviará para você uma solicitação de pull que atualizará a referência no arquivo de fluxo de trabalho para a última versão.

O Dependabot também verifica os arquivos de fluxo de trabalho em busca de usos de fluxos de trabalho reutilizáveis ​​e atualiza a referência do Git para esses fluxos de trabalho reutilizáveis.

Para habilitar esse recurso, consulte Manter as suas ações atualizadas com o Dependabot.

Frequência de Dependabot pull requests

Você especifica com que frequência verifica cada ecossistema para novas versões no arquivo de configuração: diariamente, semanalmente ou mensalmente.

Quando você habilitar atualizações de versão pela primeira vez, você pode ter muitas dependências que estão desatualizadas e algumas podem ser muitas versões por trás da versão mais recente. O Dependabot verifica as dependências desatualizadas assim que estiver habilitado. Você pode ver novas pull requests para atualizações de versão dentro de alguns minutos após adicionar o arquivo de configuração, dependendo do número de arquivos de manifesto para os quais você configura as atualizações. Dependabot também será executada uma atualização sobre as alterações subsequentes no arquivo de configuração.

Para manter as solicitações de pull gerenciáveis e fáceis de serem revisadas, o Dependabot gera, no máximo, cinco solicitações de pull para começar a trazer as dependências para a última versão. Se você fizer o merge de algumas desses primeiros pull requests antes da próxima atualização programada, Os pull requests restantes serão abertos na próxima atualização, até o máximo. Você pode alterar o número máximo de solicitações de pull em aberto definindo a opção de configuração open-pull-requests-limit.

Para reduzir ainda mais o número de solicitações de pull que você está vendo, você pode usar a opção de configuração groups para agrupar conjuntos de dependências (por ecossistema de pacote). Em seguida, o Dependabot gera uma única solicitação de pull para atualizar o máximo de dependências possível no grupo para as versões mais recentes ao mesmo tempo. Para obter mais informações, consulte Otimizando a criação de pull requests para atualizações de versão do Dependabot.

Se tiver habilitado atualizações de segurança, às vezes você verá atualizações de segurança extras de pull requests. Elas são disparadas por um alerta do Dependabot para uma dependência no branch padrão. Dependabot gera automaticamente um pull request para atualizar a dependência vulnerável.

Ocasionalmente, devido a uma configuração incorreta ou uma versão incompatível, você pode ver que a execução do Dependabot falhou. Após 15 execuções com falha, o Dependabot version updates ignorará as execuções subsequentes agendadas até que você acione manualmente um marcador para atualizações do gráfico de dependência. Dependabot security updates ainda será executado como de costume.

Sobre a desativação automática de Dependabot updates

Quando os mantenedores de um repositório param de interagir com pull requests do Dependabot, o Dependabot pausa temporariamente as atualizações e deixa você a par, confira As solicitações de pull de atualização do Dependabot não são mais geradas.

Sobre notificações para atualizações de versão para Dependabot

Você pode filtrar suas notificações em GitHub para mostrar as notificações para pull requests criados por Dependabot. Para saber mais, confira Gerenciamento de notificações da sua caixa de entrada.