Enterprise Server 3.21 está disponível no momento como versão candidata a lançamento.

Atualizações de versão do Dependabot

Você pode usar Dependabot para manter os pacotes usados atualizados para as versões mais recentes.

Quem pode usar esse recurso?

O Dependabot version updates está disponível para os seguintes repositórios:

  • Todos os repositórios no GitHub Enterprise Server

Neste artigo

Observação

O administrador do site precisa configurar as Dependabot updates do sua instância do GitHub Enterprise Server para que você possa usar esse recurso. Para saber mais, confira Habilitando o Dependabot para sua empresa.

Talvez você não consiga habilitar ou desabilitar Dependabot updates se um proprietário da empresa tiver definido uma política no nível da empresa. Para saber mais, confira Como impor políticas para segurança e análise de código na empresa.

Sobre o Dependabot version updates

Dependabot facilita a manutenção das suas dependências. Você pode usá-lo para garantir que seu repositório se mantenha atualizado automaticamente com as versões mais recentes dos pacotes e aplicações do qual ele depende.

Quando o Dependabot gera solicitações de pull, essas solicitações de pull podem ser referentes a atualizações de segurança ou de versão:

  • As Dependabot security updates são solicitações de pull automatizadas que ajudam você a atualizar as dependências com vulnerabilidades conhecidas.
  • As Dependabot version updates são solicitações de pull automatizadas que mantêm suas dependências atualizadas, mesmo quando elas não têm nenhuma vulnerabilidade. Para verificar o status das atualizações da versão, acesse a aba Insights do seu repositório e, em seguida, selecione Grafo de Dependência e Dependabot.

Habilite Dependabot version updates adicionando um arquivo de configuração dependabot.yml ao seu repositório.

Atualizações de pacotes

O dependabot.yml arquivo de configuração especifica o local do manifesto ou de outros arquivos de definição de pacote, armazenados em seu repositório. Dependabot usa essas informações para verificar se há pacotes e aplicativos desatualizados. Dependabot determina se há uma nova versão de uma dependência examinando o controle de versão semântico (semver) da dependência para decidir se ela deve ser atualizada para essa versão. Para saber mais sobre os repositórios e ecossistemas com suporte, confira Ecossistemas e repositórios compatíveis com o Dependabot.

O dependabot.yml arquivo também pode ser configurado para informar Dependabot como manter suas dependências. Para obter mais informações, consulte Sobre o arquivo dependabot.yml.

Para determinados gerenciadores de pacotes, Dependabot version updates também oferece suporte ao vendoring. Dependências de vendor (ou armazenadas) são dependências registradas em um diretório específico em um repositório, em vez de referenciadas em um manifesto. Dependências de vendor estão disponíveis no tempo de criação, ainda que os servidores de pacote estejam indisponíveis. Dependabot version updates pode ser configurado para verificar as dependências fornecedoras para novas versões e atualizá-las, se necessário.

Quando Dependabot identifica uma dependência desatualizada, ela gera uma solicitação de pull para atualizar o manifesto para a versão mais recente da dependência. Para dependências fornecedoras, Dependabot gera uma solicitação de pull para substituir a dependência desatualizada diretamente pela nova versão. Você verifica se os seus testes passam, revisa o changelog e lança observações incluídas no resumo do pull request e, em seguida, faz a mesclagem. Para obter mais informações, consulte Configuração de atualizações de versão do Dependabot.

Se você habilitar atualizações de segurança, Dependabot também gerará solicitações de pull para atualizar dependências vulneráveis. Para obter mais informações, consulte Atualizações de segurança do Dependabot.

Atualizações para ações

Ações são frequentemente atualizadas com correções de bugs e novos recursos para tornar os processos automatizados mais confiáveis, mais rápidos e mais seguros. Ao habilitar Dependabot version updates para GitHub Actions, Dependabot ajudará a garantir que as referências a ações no arquivo workflow.yml de um repositório e os fluxos de trabalho reutilizáveis usados em fluxos de trabalho sejam mantidos atualizados.

Para cada ação no arquivo, Dependabot verifica a referência associada à ação (normalmente um número de versão ou identificador de commit associado à ação) em relação à versão mais recente. Se uma versão mais recente da ação estiver disponível, Dependabot enviará uma solicitação de pull que atualiza a referência no arquivo de fluxo de trabalho para a versão mais recente.

Dependabot também verifica arquivos de fluxo de trabalho para usos de fluxos de trabalho reutilizáveis e atualiza a referência do Git para esses chamados fluxos de trabalho reutilizáveis.

Para habilitar esse recurso, consulte Manter as suas ações atualizadas com o Dependabot.

Sobre a desativação automática de Dependabot updates

Quando os mantenedores de um repositório param de interagir com pull requests do Dependabot, o Dependabot pausa temporariamente as atualizações e deixa você a par, confira As solicitações de pull de atualização do Dependabot não são mais geradas.

Sobre as notificações de atualizações de versão de Dependabot

Você pode filtrar suas notificações em GitHub para exibir as notificações de pull requests criados por Dependabot. Para obter mais informações, consulte Gerenciamento de notificações da sua caixa de entrada.