About Dependabot version updates

You can use Dependabot to keep the packages you use updated to the latest versions.

About Actualizaciones de versión del dependabot

Dependabot takes the effort out of maintaining your dependencies. You can use it to ensure that your repository automatically keeps up with the latest releases of the packages and applications it depends on.

You enable Actualizaciones de versión del dependabot by checking a configuration file into your repository. The configuration file specifies the location of the manifest, or of other package definition files, stored in your repository. Dependabot uses this information to check for outdated packages and applications. Dependabot determines if there is a new version of a dependency by looking at the semantic versioning (semver) of the dependency to decide whether it should update to that version. For certain package managers, Actualizaciones de versión del dependabot also supports vendoring. Vendored (or cached) dependencies are dependencies that are checked in to a specific directory in a repository rather than referenced in a manifest. Vendored dependencies are available at build time even if package servers are unavailable. Actualizaciones de versión del dependabot can be configured to check vendored dependencies for new versions and update them if necessary.

When Dependabot identifies an outdated dependency, it raises a pull request to update the manifest to the latest version of the dependency. For vendored dependencies, Dependabot raises a pull request to replace the outdated dependency with the new version directly. You check that your tests pass, review the changelog and release notes included in the pull request summary, and then merge it. For more information, see "Enabling and disabling Dependabot version updates."

If you enable security updates, Dependabot also raises pull requests to update vulnerable dependencies. For more information, see "About Actualizaciones de seguridad del dependabot."

Cuando el Dependabot levanta solicitudes de cambio, estas podrían ser para actualizaciones de seguridad o de versión:

  • Actualizaciones de seguridad del dependabot are automated pull requests that help you update dependencies with known vulnerabilities.
  • Actualizaciones de versión del dependabot are automated pull requests that keep your dependencies updated, even when they don’t have any vulnerabilities. Para verificar el estado de las actualizaciones de versión, navega a la pestaña de perspectivas de tu repositorio, luego a la gráfica de dependencias, y luego al Dependabot.

En las Condiciones de Servicio de GitHub se incluyen al Dependabot y a todas sus características relacionadas.

Frequency of Dependabot pull requests

You specify how often to check each ecosystem for new versions in the configuration file: daily, weekly, or monthly.

Cuando habilitas las actualizaciones de versión por primera vez, podrías tener muchas dependencias desactualizadas y algunas podrían estar varias versiones debajo de la última. Dependabot verifica las dependencias que estén desactualizadas tan pronto se habilita. Podrías ver nuevas solicitudes de extracción para las actualizaciones de versión después de algunos minutos de haber agregado el archivo de configuración, dependiendo de la cantidad de archivos de manifiesto para los cuales configuras las actualizaciones. El Dependabot también ejecutará una actualización en los cambios subsecuentes al archivo de configuración.

El Dependabot también podría crear solicitudes de cambios cuando cambias un archivo de manifiesto después de que falló una actualización. Esto es porque los cambios al manifiesto, tales como eliminar la dependencia que ocasionó que fallara la actualización, podrían causar que la actualización recién activada tenga éxito.

Para mantener la fácil administración y revisión de las solicitudes de extracción, Dependabot levanta un máximo de cinco solicitudes de extracción para comenzar a actualizar a las dependencias a su versión más reciente. Si fusionas algunas de estas primeras solicitudes de cambios en la siguiente actualización programada, aquellas restantes se abrirán en la siguiente actualización, hasta ese máximo. Puedes cambiar la cantidad máxima de solicitudes de cambios abiertas si configuras la opción de configuración open-pull-requests-limit.

If you've enabled security updates, you'll sometimes see extra pull requests for security updates. These are triggered by a Dependabot alert for a dependency on your default branch. Dependabot automatically raises a pull request to update the vulnerable dependency.

Supported repositories and ecosystems

You can configure version updates for repositories that contain a dependency manifest or lock file for one of the supported package managers. For some package managers, you can also configure vendoring for dependencies. For more information, see "Configuration options for dependency updates."

Cuando ejecutas actualizaciones de versión o de seguridad, algunos ecosistemas deberán poder resolver todas las dependencias de su fuente para verificar que las actualizaciones sean exitosas. Si tus archivos de manifiesto o de bloqueo contienen cualquier dependencia privada, el Dependabot deberá poder acceder a la ubicación en la que se hospedan dichas dependencias. Los propietarios de las organizaciones pueden otorgar acceso al Dependabot para los repositorios privados que contengan dependencias para un proyecto dentro de la misma organización. Para obtener más información, consulta la sección "Administrar la configuración de seguridad y análisis para tu organización". Puedes configurar el acceso a los registros privados en el archivo de configuración dependabot.yml de un repositorio. Para obtener más información, consulta la sección "Opciones de configuración para las actualizaciones de dependencias".

Dependabot doesn't support private GitHub dependencies for all package managers. See the details in the table below.

La siguiente tabla muestra, para cada administrador de paquetes:

  • El valor YAML a utilizar en el archivo dependabot.yml
  • Las versiones compatibles del administrador de paquetes
  • Si las dependencias en los repositorios o registros privados de GitHub son compatibles
  • Si las dependencias delegadas a proveedores son compatibles
Administración de paquetesEl valor de YAMLLas versiones compatiblesLos repositorios privadosRegistros privadosDelegamiento a proveedores
Bundlerbundlerv1, v2
Cargocargov1
Composercomposerv1, v2
Dockerdockerv1
Hexmixv1
elm-packageelmv0.19
submódulo de gitgitsubmoduleN/A (sin versión)
GitHub Actionsgithub-actionsN/A (sin versión)
Módulos de Gogomodv1
GradlegradleN/A (sin versión)[1]
MavenmavenN/A (sin versión)[2]
npmnpmv6, v7
NuGetnuget<= 4.8[3]
pippipv21.1.2
pipenvpip<= 2021-05-29
pip-compilepip6.1.0
poetrypipv1
Terraformterraform>= 0.13, <= 1.0
yarnnpmv1

[1] El Dependabot no ejecuta Gradle pero es compatible con las actualizaciones de los siguientes archivos: build.gradle, build.gradle.kts (para los proyectos de Kotlin), y los archivos que se incluye a través de la declaración apply que tengan dependencies en el nombre de archivo. Toma en cuenta que apply no es compatible con apply to, con la recursión o con las sintaxis avanzadas (por ejemplo, el apply de Kotlin con mapOf, que son nombres de archivo que se definen por propiedad).

[2] El Dependabot no ejecuta Maven pero es compatible con las actualizaciones a los archivos pom.xml.

[3] El Dependabot no ejecuta el CLI de NuGet pero sí es compatible con la mayoría de las características hasta la versión 4.8.

Para los administradores de paquetes tales como pipenv y poetry, necesitas utilizar el valor pip de YAML. Por ejemplo, si utilizas poetry para administrar tus dependencias de Python y quieres que el Dependabot monitoree el archivo de manifiesto de tu dependencia para encontrar versiones nuevas, utiliza package-ecosystem: "pip" en tu archivo de dependabot.yml.

If your repository already uses an integration for dependency management, you will need to disable this before enabling Dependabot. For more information, see "About integrations."

About notifications for Dependabot version updates

You can filter your notifications on GitHub to show notifications for pull requests created by Dependabot. For more information, see "Managing notifications from your inbox."

¿Te ayudó este documento?

Política de privacidad

¡Ayúdanos a hacer geniales estos documentos!

Todos los documentos de GitHub son de código abierto. ¿Notas algo que esté mal o que no sea claro? Emite una solicitud de cambios.

Haz una contribución

O, aprende cómo contribuir.