Mantener tus acciones actualizadas con el Dependabot

En este artículo

Puedes utilizar el Dependabot para mantener las acciones que utilizas actualizadas en sus versiones más recientes.

Acerca de Dependabot version updates para las acciones

Las acciones a menudo se actualizan con correcciones de errores y con nuevas características para que los procesos automatizados sean más confiables, rápidos y seguros. Cuando habilitas Dependabot version updates para GitHub Actions, Dependabot te permite asegurarte de que las referencias de acciones se mantengan actualizadas en el archivo workflow.yml de un repositorio y los flujos de trabajo reutilizables usasods dentro de los flujos de trabajo se mantienen actualizados.

Para cada acción del archivo, Dependabot comprueba si la referencia de la acción (suele ser un número de versión o un identificador de confirmación asociado a la acción) está actualizada a la versión más reciente. Para obtener información sobre cómo los creadores de acciones versionan sus acciones, consulta «Utilizar la administración de lanzamientos para tus acciones personalizadas».

Si hay disponible alguna versión más reciente de la acción, Dependabot le enviará una solicitud de incorporación de cambios para actualizar la referencia en el archivo de flujo de trabajo a su última versión. Para más información sobre Dependabot version updates, consulta "Acerca de las actualizaciones a la versión del Dependabot". Para más información sobre la configuración de flujos de trabajo para GitHub Actions, consulta "Más información sobre las Acciones de GitHub".

Dependabot también comprueba los archivos de flujo de trabajo para los usos de flujos de trabajo reutilizables y actualiza la referencia de Git para estos denominados flujos de trabajo reutilizables. Para más información sobre los flujos de trabajo reutilizables, consulta "Reutilización de flujos de trabajo".

Nota: Las ejecuciones de flujos de trabajo que las solicitudes de incorporación de cambios de Dependabot desencadenan se ejecutan como si fueran de un repositorio bifurcado y, por lo tanto, usan un elemento GITHUB_TOKEN de solo lectura. Estas ejecuciones de flujo de trabajo no pueden acceder a ningún secreto. Para información sobre las estrategias para mantener estos flujos de trabajo seguros, consulta "Fortalecimiento de seguridad para GitHub Actions".

Habilitar las Dependabot version updates para las acciones

Puedes configurar Dependabot version updates para mantener las acciones, así como las bibliotecas y los paquetes de los que dependes.

  1. Si ya tienes habilitadas las Dependabot version updates para otros ecosistemas o administradores de paquetes, solo tendrás que abrir el archivo dependabot.yml existente. De lo contrario, crea un archivo de configuración dependabot.yml en el directorio .github del repositorio. Para obtener más información, vea «Configuración de las actualizaciones de versiones de Dependabot».
  2. Especifique "github-actions" como package-ecosystem para supervisar.
  3. Establezca directory en "/" para comprobar si hay archivos de flujo de trabajo en .github/workflows.
  4. Establezca la schedule.interval frecuencia con la que se comprueban las nuevas versiones.
  5. Compruebe el archivo de configuración dependabot.yml en el directorio .github del repositorio.Si editaste un archivo existente, guarda tus cambios.

También puedes habilitar las Dependabot version updates en las bifurcaciones. Para obtener más información, vea «Configuración de las actualizaciones de versiones de Dependabot».

Ejemplo de archivo dependabot.yml de GitHub Actions

El siguiente ejemplo de archivo dependabot.yml configura las actualizaciones de versión para GitHub Actions. directory debe establecerse "/" en para comprobar si hay archivos de flujo de trabajo en .github/workflows. La propiedad schedule.interval se establece como "weekly". Después de que se verifique o actualice este archivo, el Dependabot revisará si hay versiones nuevas de tus acciones. Dependabot enviará solicitudes de incorporación de cambios de actualizaciones de versión para cualquier acción obsoleta que detecte. Después de las actualizaciones de versión iniciales, Dependabot seguirá buscando versiones desactualizadas en las acciones una vez a la semana.

# Set update schedule for GitHub Actions

version: 2
updates:

  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      # Check for updates to GitHub Actions every week
      interval: "weekly"

Configurar las Dependabot version updates para las acciones

Al habilitar Dependabot version updates para las acciones, debe especificar valores para package-ecosystem, directory y schedule.interval. Hay muchas más propiedades opcionales que puedes configurar para personalizar tus actualizaciones de versión aún más. Para obtener más información, vea «Opciones de configuración para el archivo dependabot.yml».

Información adicional