Nota:
En este artículo se explica cómo automatizar tareas relacionadas con Dependabot mediante GitHub Actions. Para obtener más información sobre cómo ejecutar Dependabot updates con GitHub Actions, vea Dependabot en runners de Acciones de GitHub en su lugar.
Puede usar GitHub Actions para ejecutar tareas automatizadas cuando Dependabot crea solicitudes de extracción para actualizar las dependencias. Es posible que esto te resulte útil si quieres:
-
Asegúrese de que Dependabot las solicitudes de incorporación de cambios (actualizaciones de versión y actualizaciones de seguridad) se creen con los datos adecuados para los procesos de trabajo, incluidas las etiquetas y los nombres.
-
Desencadene flujos de trabajo para enviar Dependabot solicitudes de incorporación de cambios (actualizaciones de versión y actualizaciones de seguridad) en el proceso de revisión o para combinarlas automáticamente.
Acerca de Dependabot y GitHub Actions
Importante
Si Dependabot está habilitado para un repositorio, siempre se ejecutará en GitHub Actions, omitiendo las comprobaciones de directiva de acciones y la deshabilitación en el nivel de repositorio o organización. Esto garantiza que los flujos de trabajo de actualización de seguridad y versión siempre se ejecuten cuando Dependabot esté habilitado.
Dependabot crea solicitudes de incorporación de cambios para mantener actualizadas las dependencias. Puede usar GitHub Actions para realizar tareas automatizadas cuando se crean estas solicitudes de incorporación de cambios. Por ejemplo, recupera artefactos adicionales, agrega etiquetas, ejecuta pruebas o modifica la solicitud de incorporación de cambios de cualquier otra forma.
El Dependabot puede activar flujos de trabajo de las GitHub Actions en sus solicitudes de cambios y comentarios; sin embargo, algunos eventos se tratan de forma distinta. Para obtener más información, consulte Solución de problemas de Dependabot en acciones de GitHub.
Estos son varios escenarios comunes para las solicitudes de incorporación de cambios que se pueden automatizar mediante GitHub Actions.
Recuperación de metadatos de una solicitud de incorporación de cambios
Para la mayoría de automatización es necesario conocer información del contenido de la solicitud de incorporación de cambios: cuál era el nombre de la dependencia, si es una dependencia productiva y si es una actualización de revisión, menor o mayor. Puede usar una acción para obtener información sobre las dependencias que se están actualizando mediante una solicitud de extracción generada por Dependabot.
Ejemplo:
# Este flujo de trabajo usa acciones que no GitHub no certifica.
# Estas las proporcionan entidades terceras y las gobiernan
# condiciones de servicio, políticas de privacidad y documentación de soporte
# en línea.
name: Dependabot fetch metadata
on: pull_request
permissions:
pull-requests: write
issues: write
jobs:
dependabot:
runs-on: ubuntu-latest
if: github.event.pull_request.user.login == 'dependabot[bot]' && github.repository == 'owner/my_repo'
steps:
- name: Dependabot metadata
id: metadata
uses: dependabot/fetch-metadata@d7267f607e9d3fb96fc2fbe83e0af444713e90b7
with:
github-token: "${{ secrets.GITHUB_TOKEN }}"
# The following properties are now available:
# - steps.metadata.outputs.dependency-names
# - steps.metadata.outputs.dependency-type
# - steps.metadata.outputs.update-type
# Este flujo de trabajo usa acciones que no GitHub no certifica.
# Estas las proporcionan entidades terceras y las gobiernan
# condiciones de servicio, políticas de privacidad y documentación de soporte
# en línea.
name: Dependabot fetch metadata
on: pull_request
permissions:
pull-requests: write
issues: write
jobs:
dependabot:
runs-on: ubuntu-latest
if: github.event.pull_request.user.login == 'dependabot[bot]' && github.repository == 'owner/my_repo'
steps:
- name: Dependabot metadata
id: metadata
uses: dependabot/fetch-metadata@d7267f607e9d3fb96fc2fbe83e0af444713e90b7
with:
github-token: "${{ secrets.GITHUB_TOKEN }}"
# The following properties are now available:
# - steps.metadata.outputs.dependency-names
# - steps.metadata.outputs.dependency-type
# - steps.metadata.outputs.update-type
Para más información, consulte el repositorio dependabot/fetch-metadata.
Etiquetado de una solicitud de incorporación de cambios
Si tiene otros flujos de trabajo de automatización o evaluación de prioridades basados en GitHub etiquetas, puede configurar una acción para asignar etiquetas en función de los metadatos proporcionados.
Ejemplo en el que marcan todas las actualizaciones de las dependencias de producción con una etiqueta:
# Este flujo de trabajo usa acciones que no GitHub no certifica.
# Estas las proporcionan entidades terceras y las gobiernan
# condiciones de servicio, políticas de privacidad y documentación de soporte
# en línea.
name: Dependabot auto-label
on: pull_request
permissions:
pull-requests: write
issues: write
jobs:
dependabot:
runs-on: ubuntu-latest
if: github.event.pull_request.user.login == 'dependabot[bot]' && github.repository == 'owner/my_repo'
steps:
- name: Dependabot metadata
id: metadata
uses: dependabot/fetch-metadata@d7267f607e9d3fb96fc2fbe83e0af444713e90b7
with:
github-token: "${{ secrets.GITHUB_TOKEN }}"
- name: Add a label for all production dependencies
if: steps.metadata.outputs.dependency-type == 'direct:production'
run: gh pr edit "$PR_URL" --add-label "production"
env:
PR_URL: ${{github.event.pull_request.html_url}}
# Este flujo de trabajo usa acciones que no GitHub no certifica.
# Estas las proporcionan entidades terceras y las gobiernan
# condiciones de servicio, políticas de privacidad y documentación de soporte
# en línea.
name: Dependabot auto-label
on: pull_request
permissions:
pull-requests: write
issues: write
jobs:
dependabot:
runs-on: ubuntu-latest
if: github.event.pull_request.user.login == 'dependabot[bot]' && github.repository == 'owner/my_repo'
steps:
- name: Dependabot metadata
id: metadata
uses: dependabot/fetch-metadata@d7267f607e9d3fb96fc2fbe83e0af444713e90b7
with:
github-token: "${{ secrets.GITHUB_TOKEN }}"
- name: Add a label for all production dependencies
if: steps.metadata.outputs.dependency-type == 'direct:production'
run: gh pr edit "$PR_URL" --add-label "production"
env:
PR_URL: ${{github.event.pull_request.html_url}}
Aprobar una solicitud de incorporación de cambios automáticamente
Puede aprobar automáticamente las solicitudes de incorporación de cambios Dependabot usando el GitHub CLI en un flujo de trabajo.
Ejemplo:
# Este flujo de trabajo usa acciones que no GitHub no certifica.
# Estas las proporcionan entidades terceras y las gobiernan
# condiciones de servicio, políticas de privacidad y documentación de soporte
# en línea.
name: Dependabot auto-approve
on: pull_request
permissions:
pull-requests: write
jobs:
dependabot:
runs-on: ubuntu-latest
if: github.event.pull_request.user.login == 'dependabot[bot]' && github.repository == 'owner/my_repo'
steps:
- name: Dependabot metadata
id: metadata
uses: dependabot/fetch-metadata@d7267f607e9d3fb96fc2fbe83e0af444713e90b7
with:
github-token: "${{ secrets.GITHUB_TOKEN }}"
- name: Approve a PR
run: gh pr review --approve "$PR_URL"
env:
PR_URL: ${{github.event.pull_request.html_url}}
GH_TOKEN: ${{secrets.GITHUB_TOKEN}}
# Este flujo de trabajo usa acciones que no GitHub no certifica.
# Estas las proporcionan entidades terceras y las gobiernan
# condiciones de servicio, políticas de privacidad y documentación de soporte
# en línea.
name: Dependabot auto-approve
on: pull_request
permissions:
pull-requests: write
jobs:
dependabot:
runs-on: ubuntu-latest
if: github.event.pull_request.user.login == 'dependabot[bot]' && github.repository == 'owner/my_repo'
steps:
- name: Dependabot metadata
id: metadata
uses: dependabot/fetch-metadata@d7267f607e9d3fb96fc2fbe83e0af444713e90b7
with:
github-token: "${{ secrets.GITHUB_TOKEN }}"
- name: Approve a PR
run: gh pr review --approve "$PR_URL"
env:
PR_URL: ${{github.event.pull_request.html_url}}
GH_TOKEN: ${{secrets.GITHUB_TOKEN}}
Habilitar la fusión automática en una solicitud de incorporación de cambios
Si desea permitir que los mantenedores marquen determinadas solicitudes de extracción para la combinación automática, puede usar la funcionalidad de combinación automática de GitHub. Esto habilita a la solicitud de cambios para que se fusione cuando se cumpla cualquier prueba y aprobación requerida por las reglas de protección de rama.
Para obtener más información, vea Fusionar una solicitud de cambios automáticamente y Administrar una regla de protección de rama.
En su lugar, puede usar GitHub Actions y .GitHub CLI Este es un ejemplo que fusiona automáticamente todas las actualizaciones de revisión a my-dependency:
# Este flujo de trabajo usa acciones que no GitHub no certifica.
# Estas las proporcionan entidades terceras y las gobiernan
# condiciones de servicio, políticas de privacidad y documentación de soporte
# en línea.
name: Dependabot auto-merge
on: pull_request
permissions:
contents: write
pull-requests: write
jobs:
dependabot:
runs-on: ubuntu-latest
if: github.event.pull_request.user.login == 'dependabot[bot]' && github.repository == 'owner/my_repo'
steps:
- name: Dependabot metadata
id: metadata
uses: dependabot/fetch-metadata@d7267f607e9d3fb96fc2fbe83e0af444713e90b7
with:
github-token: "${{ secrets.GITHUB_TOKEN }}"
- name: Enable auto-merge for Dependabot PRs
if: contains(steps.metadata.outputs.dependency-names, 'my-dependency') && steps.metadata.outputs.update-type == 'version-update:semver-patch'
run: gh pr merge --auto --merge "$PR_URL"
env:
PR_URL: ${{github.event.pull_request.html_url}}
GH_TOKEN: ${{secrets.GITHUB_TOKEN}}
# Este flujo de trabajo usa acciones que no GitHub no certifica.
# Estas las proporcionan entidades terceras y las gobiernan
# condiciones de servicio, políticas de privacidad y documentación de soporte
# en línea.
name: Dependabot auto-merge
on: pull_request
permissions:
contents: write
pull-requests: write
jobs:
dependabot:
runs-on: ubuntu-latest
if: github.event.pull_request.user.login == 'dependabot[bot]' && github.repository == 'owner/my_repo'
steps:
- name: Dependabot metadata
id: metadata
uses: dependabot/fetch-metadata@d7267f607e9d3fb96fc2fbe83e0af444713e90b7
with:
github-token: "${{ secrets.GITHUB_TOKEN }}"
- name: Enable auto-merge for Dependabot PRs
if: contains(steps.metadata.outputs.dependency-names, 'my-dependency') && steps.metadata.outputs.update-type == 'version-update:semver-patch'
run: gh pr merge --auto --merge "$PR_URL"
env:
PR_URL: ${{github.event.pull_request.html_url}}
GH_TOKEN: ${{secrets.GITHUB_TOKEN}}
Nota:
Si usa comprobaciones de estado para validar las solicitudes de extracción, debe habilitar Exigir que las comprobaciones de estado se superen antes de la fusión para la rama de destino de las solicitudes de extracción Dependabot. Esta regla de protección de rama garantiza que las solicitudes de incorporación de cambios no se fusionen a menos que se superen todas las comprobaciones de estado necesarias. Para obtener más información, vea Administrar una regla de protección de rama.
Si la rama de destino usa una cola de fusiones, la función integrada GITHUB_TOKEN no puede añadir solicitudes de extracción a la cola. En este caso, debe autenticar el flujo de trabajo con un token personal access token o con un token GitHub App que tenga permiso para fusionar, y usarlo en lugar de GITHUB_TOKEN para el paso gh pr merge.
Dependabot y GitHub Actions políticas
Normalmente, si un flujo de trabajo se puede ejecutar en un repositorio depende de GitHub Actionslas comprobaciones de directivas y de si GitHub Actions está habilitado en el nivel de organización o repositorio. Estos controles pueden restringir la ejecución de flujos de trabajo, especialmente cuando se bloquean acciones externas o GitHub Actions están deshabilitadas por completo.
Sin embargo, cuando Dependabot está habilitado para un repositorio, sus flujos de trabajo siempre se ejecutarán en GitHub Actions, omitiendo las comprobaciones de directivas de acciones y la deshabilitación.
- Dependabot Los flujos de trabajo no se ven bloqueados por la desactivación de Actions ni por las restricciones de las directivas empresariales.
- Las acciones a las que se hace referencia en estos flujos de trabajo también se pueden ejecutar, incluso si no se permiten acciones externas.
Para obtener más información, vea Dependabot en runners de Acciones de GitHub.
Investigación de ejecuciones de flujo de trabajo con errores
Si tu ejecución de flujo de trabajo falla, verifica lo siguiente:
- Estás ejecutando el flujo de trabajo únicamente cuando el actor adecuado lo activa.
- Va a extraer del repositorio el
refcorrecto parapull_request. - Tus secretos están disponibles como secretos de Dependabot en lugar de como secretos de GitHub Actions.
- Tiene un
GITHUB_TOKENcon los permisos correctos.
Para obtener información sobre cómo escribir y depurar GitHub Actions, vea Escritura de flujos de trabajo.
Para obtener más sugerencias para ayudar a resolver problemas con los flujos de trabajo, consulte Solución de problemas de Dependabot en acciones de GitHub.