Mises à jour des versions Dependabot

Vous pouvez utiliser Dependabot pour conserver les packages que vous utilisez mis à jour vers les dernières versions.

Qui peut utiliser cette fonctionnalité ?

Dependabot version updates est disponible pour les dépôts suivants :

  • Tous les dépôts sur GitHub

Dans cet article

À propos de Dependabot version updates

Dependabot vous évite les efforts liés à la maintenance de vos dépendances. Vous pouvez l’utiliser pour vous assurer que votre dépôt reçoit automatiquement les dernières versions des packages et des applications dont il dépend.

Quand Dependabot déclenche des demandes de tirage, celles-ci peuvent concerner des mises à jour de sécurité ou de version :

  • Les Dependabot security updates sont des demandes de tirage automatisées qui vous aident à mettre à jour les dépendances qui ont des vulnérabilités connues.
  • Les Dependabot version updates sont des demandes de tirage automatisées qui tiennent à jour les dépendances, même si elles ne présentent aucune vulnérabilité. Pour vérifier l’état des mises à jour de version, accédez à l’onglet Insights de votre référentiel, puis sélectionnez Graphe des dépendances et Dependabot.

Vous activez Dependabot version updates en ajoutant un fichier de configuration dependabot.yml à votre dépôt.

Dependabot et toutes les fonctionnalités associées sont couverts par votre contrat de licence. Pour plus d’informations, consultez GitHub Conditions applicables aux entreprises clientes.

Mises à jour des packages

Le dependabot.yml fichier de configuration spécifie l’emplacement du manifeste, ou d’autres fichiers de définition de package, stockés dans votre référentiel. Dependabot utilise ces informations pour vérifier les packages et applications obsolètes. Dependabot détermine s’il existe une nouvelle version d’une dépendance en examinant le contrôle de version sémantique (semver) de la dépendance pour décider s’il doit être mis à jour vers cette version. Pour plus d’informations sur les écosystèmes et référentiels pris en charge, consultez Écosystèmes et référentiels pris en charge par Dependabot.

Le dependabot.yml fichier peut également être configuré pour savoir Dependabot comment gérer vos dépendances. Pour plus d’informations, consultez « À propos du fichier dependabot.yml ».

Pour certains gestionnaires de packages, Dependabot version updates prend également en charge le fournisseur. Les dépendances placées dans le répertoire vendor (ou mises en cache) sont des dépendances qui sont archivées dans un répertoire spécifique au sein d’un dépôt plutôt que référencées dans un manifeste. Les dépendances placées dans le répertoire vendor sont disponibles au moment de la génération, même si les serveurs de package ne sont pas disponibles. Dependabot version updates peut être configuré pour vérifier les dépendances fournisseur pour les nouvelles versions et les mettre à jour si nécessaire.

Lorsque Dependabot détecte une dépendance obsolète, il ouvre une pull request pour mettre à jour le manifeste vers la dernière version de la dépendance. Pour les dépendances intégrées, Dependabot ouvre une pull request pour remplacer directement la dépendance obsolète par sa nouvelle version. Vous vérifiez que vos tests réussissent, passez en revue le journal des modifications et les notes de publication incluses dans le résumé de la demande de tirage, puis vous la fusionnez. Pour plus d’informations, consultez « Configuration de mises à jour de version Dependabot ».

Si vous activez les mises à jour de sécurité, Dependabot déclenche également des demandes de tirage pour mettre à jour les dépendances vulnérables. Pour plus d’informations, consultez « Mises à jour de sécurité Dependabot ».

Mises à jour des actions

Les actions sont souvent mises à jour avec des correctifs de bogues et de nouvelles fonctionnalités pour rendre les processus automatisés plus fiables, plus rapides et plus sûrs. Lorsque vous activez Dependabot version updates pour GitHub Actions, Dependabot contribuera à garantir que les références aux actions figurant dans le fichier workflow.yml d’un dépôt, ainsi que les workflows réutilisables utilisés dans les workflows, restent à jour.

Pour chaque action dans le fichier, Dependabot vérifie la référence de l’action (généralement un numéro de version ou un identificateur de validation associé à l’action) par rapport à la dernière version. Si une version plus récente de l’action est disponible, Dependabot vous enverra une requête de tirage afin de mettre à jour la référence dans le fichier de flux de travail vers la version la plus récente.

Dependabot vérifie également les fichiers de flux de travail pour les utilisations de flux de travail réutilisables et met à jour la référence Git pour ces flux de travail réutilisables appelés flux de travail réutilisables.

Pour activer cette fonctionnalité, consultez Maintenir vos actions à jour avec Dependabot.

À propos de la désactivation automatique de Dependabot updates

Lorsque les chargés de la maintenance d’un référentiel cessent d’interagir avec les demandes de tirage de Dependabot, Dependabot suspend temporairement ses mises à jour et vous en informe. Consultez Les pull requests de mise à jour de Dependabot ne sont plus générées.

À propos des notifications concernant les mises à jour de la version Dependabot

Vous pouvez filtrer vos notifications sur GitHub afin d’afficher les notifications concernant les pull requests créées par Dependabot. Pour plus d’informations, consultez « Gestion des notifications à partir de votre boîte de réception ».