Mejorar la versión de Dependabot.com al Dependabot nativo de GitHub

Puedes mejorar a un Dependabot nativo de GitHub si fusionas una solicitud de cambios que permitirá a tus dependencias seguir actualizándose.

La Vista Previa del Dependabot también se cerró desde el 3 de agosto de 2021. Para seguir obteniendo actualizaciones del Dependabot, por favor, mígrate al Dependabot nativo de GitHub.

Las solicitudes de cambios abiertas de la Vista Previa del Dependabot permanecerán abiertas, incluyendo las solicitudes de cambio para actualizar al Dependabot nativo de GitHub, pero el bot mismo ya no funcionará en tus cuentas y organizaciones de GitHub.

Acerca de mejorar de una vista previa del Dependabot a un Dependabot nativo de GitHub

La vista previa del Dependabot se creó directamente en GitHub para que puedas utilizar el Dependabot junto con el resto de las funcionalidades en GitHub sin tener que instalar y utilizar una aplicación por separado. Al migrarte al Dependabot nativo de GitHub, también podemos enfocarnos en traer muchas características emocionantes al Dependabot, incluyendo más actualizaciones de ecosistema, notificaciones mejoradas y compatibilidad del Dependabot con GitHub Enterprise Server y GitHub AE.

Diferencias entre la vista previa del Dependabot y el Dependabot nativo de GitHub

Si bien la mayoría de las características de la vista previa del Dependabot existen en el Dependabot nativo de GitHub, algunas no están disponibles en él:

  • Actualizaciones en vivo: Esperamos tenerlas de vuelta pronto. Por el momento, puedes ejecutar el Dependabot de GitHub diariamente para que atrae paquetes al transcurrir un día de su lanzamiento.
  • Registros de variable de ambiente PHP: Para los proyectos que dependen de la variable de ambiente ACF_PRO_KEY, puede que seas capaz de expender tu copia licenciada del plugin de los Campos Personalizados Avanzados. Para encontrar un ejemplo, consulta dependabot/acf-php-example. Para encontrar otras variables de ambiente, puedes utilizar GitHub Actions para recuperar las dependencias desde estos registros.
  • Fusión automática: Siempre recomendamos verificar tus dependencias antes de fusionarlas; por lo tanto, la fusión automática no será compatible en el futuro previsible. Para aquellos que vetaron sus dependencias o que solo utilizan las internas, recomendamos agregar aplicaciones de fusión automática de terceros o configurar GitHub Actions para fusionar. Hemos proporcionado la acción dependabot/fetch-metadata para ayudar a los desarrolladores a Habilitar la fusión automática de GitHub.

En el Dependabot nativo de GitHub, puedes configurar todas las actualizaciones de versión utilizando el archivo de configuración. Este archivo es similar al archivo de configuración de la vista previa de Dependabot con algunos cambios y mejoras que se incluirán automáticamente en su solicitud de extracción de actualización. Para obtener más información sobre la solicitud de cambios de actualziación, consulta la sección "Actualizar a un Dependabot nativo de GitHub".

Para ver las bitácoras de actualización del Dependabot nativo de GitHub que se encontraban anteriormente en el tablero de Dependabot.com:

  1. Navega a la página de Perspectivas de tu repositorio.
  2. Haz clic en la Gráfica de dependencias a la izquierda.
  3. Haz clic en Dependabot.

Para obtener más información acerca de las actualizaciones con un Dependabot nativo de GitHub, consulta la sección "Acerca de las actualizaciones de versión del Dependabot".

Actualizar a un Dependabot nativo de GitHub

El actualizar de la vista previa del Dependabot a un Dependabot nativo de GitHub requiere que: fusiones la solicitud de cambios de Actualices a un Dependabot nativo de GitHub en tu repositorio. Esta solicitud de cambios incluye el archivo de configuración actualizado que se requiere para tener un Dependabot nativo de GitHub.

Si estás utilizando repositorios privados, tendrás que proporcionar al Dependabot acceso a ellos en la configuración de análisis y seguridad de tu organización. Para obtener más información, consulta la sección "Permitir que el Dependabot acceda a las dependencias privadas". Anteriormente, el Dependabot tenía acceso a todos los repositorios dentro de una organización, pero implementamos este cambio porque así es mucho más seguro utilizar el principio del privilegio mínimo necesario para el Dependabot.

Si estás utilizando registros privados, tendrás que agregar tus secretos existentes de la vista previa del Dependabot a tus "Secretos del Dependabot" de tu organización o repositorio. Para obtener más información, consulta la sección "Administrar los secretos cifrados del Dependabot".

Si tienes cualquier duda o si necesitas ayuda para migrarte, puedes ver o abrir propuestas en el repositorio dependabot/dependabot-core.

¿Te ayudó este documento?

Política de privacidad

¡Ayúdanos a hacer geniales estos documentos!

Todos los documentos de GitHub son de código abierto. ¿Notas algo que esté mal o que no sea claro? Emite una solicitud de cambios.

Haz una contribución

O, aprende cómo contribuir.