Skip to main content

Administrar las solicitudes de extracción para las actualizaciones de dependencia

Administrarás las solicitudes de extracción que levante el Dependabot de casi la misma forma que cualquier otra solicitud de extracción, pero hay algunas opciones adicionales.

Acerca de las solicitudes de extracción del Dependabot

El Dependabot levanta solicitudes de extracción para actualizar las dependencias. En función de la configuración del repositorio, Dependabot podría generar solicitudes de incorporación de cambios para las actualizaciones de versión o de seguridad. Administrarás estas solicitudes de la misma forma que cualquier otra solicitud de extracción, pero también hay comandos extra disponibles. Para obtener información sobre cómo habilitar las actualizaciones de dependencias de Dependabot, vea "Configuración de Dependabot security updates" y "Habilitación y deshabilitación de actualizaciones de seguridad de Dependabot".

Cuando el Dependabot levanta una solicitud de extracción, se te notificará con el método que hayas escogido para el repositorio. Cada solicitud de cambios contiene información detallada sobre el cambio propusto, que se toma del administrador de paquetes. Estas solicitudes de extracción siguen las revisiones y pruebas normales que se definieron en tu repositorio. Adicionalmente, cuando haya suficiente información disponible, verás una puntuación de compatibilidad. Esto también podría ayudarte a decidir si quieres fusionar el cambio o no. Para obtener información sobre esta puntuación, consulta "Acerca de Dependabot security updates".

Si tienes muchas dependencias para administrar, tal vez quieras personalizar la configuración para cada administrador de paquete y que así, las solicitudes de extracción tengan revisores, asignados, y etiquetas específicos. Para obtener más información, consulta "Personalización de las actualizaciones de dependencias".

Visualizar las solicitudes de extracción del Dependabot

  1. En GitHub.com, vaya a la página principal del repositorio. 1. En el nombre del repositorio, haga clic en Solicitudes de incorporación de cambios. Selección de la pestaña Incidencias y solicitudes de incorporación de cambios
  2. Cualquier solicitud de cambio de actualizaciones de versión o de seguridad se puede identificar fácilmente.
    • El autor es dependabot, la cuenta de bot que usa Dependabot.
    • De manera predeterminada, tienen la etiqueta dependencies.

Cambiar la estrategia de rebase para las solicitudes de extracción del Dependabot

Predeterminadamente, el Dependabot rebasa automáticamente las solicitudes de extracción para resolver cualquier conflicto. Si prefieres controlar los conflictos de combinación manualmente, puedes deshabilitarlo mediante la opción rebase-strategy. Para obtener más información, consulta "Opciones de configuración para el archivo dependabot.yml".

Permitir que Dependabot fusione mediante cambio de base confirmaciones adicionales y fuerce la inserción sobre estas

De forma predeterminada, Dependabot dejará de fusionar mediante cambio de base las solicitudes de incorporación de cambios una vez que se hayan insertado en ellas confirmaciones adicionales. Para permitir que Dependabot fuerce la inserción sobre confirmaciones agregadas a sus ramas, incluye cualquiera de las siguientes cadenas: [dependabot skip] , [skip dependabot], [dependabot-skip] o [skip-dependabot], en minúsculas o mayúsculas, en el mensaje de confirmación.

Administrar las solicitudes de extracción del Dependabot con comandos de comentario

El Dependabot responde a comandos simples en los comentarios. Cada solicitud de cambios contiene detalles de los comandos que puedes utilizar para procesarla (por ejemplo: para fusionarla, combinarla, reabrirla, cerrarla o rebasarla) bajo la sección de "comandos y opciones del Dependabot". El objetivo es facilitar tanto como sea posible el que se pueda clasificar automáticamente las solicitudes de extracción generadas.

Puedes utilizar cualquiera de los siguientes comandos en una solicitud de cambios del Dependabot.

  • @dependabot cancel merge cancela una combinación solicitada previamente.
  • @dependabot close cierra la solicitud de incorporación de cambios y previene que Dependabot vuelva a crearla. Puedes lograr el mismo resultado si cierras la solicitud de cambios manualmente.
  • @dependabot ignore this dependency cierra la solicitud de incorporación de cambios y previene que Dependabot cree más solicitudes de incorporación de cambios para esta dependencia (a menos de que vuelvas a abrir la solicitud de incorporación de cambios para mejorarla a la versión sugerida de la dependencia tú mismo).
  • @dependabot ignore this major version cierra la solicitud de incorporación de cambios y previene que Dependabot cree más solicitudes de incorporación de cambios para esta versión principal (a menos de que vuelvas a abrir la solicitud de incorporación de cambios para mejorarla a esta versión principal tú mismo).
  • @dependabot ignore this minor version cierra la solicitud de incorporación de cambios y previene que Dependabot cree más solicitudes de incorporación de cambios para esta versión secundaria (a menos de que vuelvas a abrir la solicitud de incorporación de cambios para mejorarla a esta versión secundaria tú mismo).
  • @dependabot merge combina la solicitud de incorporación de cambios una vez que se han superado las pruebas de CI.
  • @dependabot rebase fusiona mediante cambio de base la solicitud de incorporación de cambios.
  • @dependabot recreate vuelve a crear la solicitud de incorporación de cambios, sobrescribiendo las modificaciones que se hayan realizado en ella.
  • @dependabot reopen vuelve a abrir la solicitud de incorporación de cambios si esta se cierra.
  • @dependabot squash and merge fusiona mediante combinación con "squash" la solicitud de incorporación de cambios una vez que se han superado las pruebas de CI.

El Dependabot reaccionará con un emoji de "pulgares arriba" para reconocer el comando y podrá responder con un comentario de la solicitud de cambios. Si bien el Dependabot a menudo responde rápidamente, algunos comandos podrían tardar varios minutos para completarse si el Dependabot está ocupado procesando otras actualizaciones o comandos.

Si ejecutas cualquiera de los comandos para ignorar las dependencias o las versiones, el Dependabot almacena las preferencias para el repositorio centralmente. Si bien esta es una solución rápida, para aquellos repositorios con más de un colaborador, es mejor definir explícitamente las dependencias y versiones a ignorar en el archivo de configuración. Esto hace que todos los colaboradores puedan ver más fácilmente por qué una dependencia en particular no se está actualizando automáticamente. Para más información, vea "Opciones de configuración para el archivo dependabot.yml".