Nota: La seguridad y actualizaciones de versión del Dependabot se encuentran actualmente en beta privado y están sujetas a cambios. Por favor, contacta a tu equipo de administración de cuenta para obtener las instrucciones para habilitar las actualizaciones del Dependabot.
Nota: Tu administrador de sitio debe configurar las Actualizaciones del dependabot para tu instancia de GitHub Enterprise Server antes de que puedas utilizar esta característica. Para obtener más información, consulta la sección "Habilitar la Dependabot en tu empresa".
Acerca de las solicitudes de extracción del Dependabot
El Dependabot levanta solicitudes de extracción para actualizar las dependencias. Dependiendo de cómo se configure tu repositorio, el Dependabot podría levantar solicitudes de extracción para las actualizaciones de versión y/o para las alertas de seguridad. Administrarás estas solicitudes de la misma forma que cualquier otra solicitud de extracción, pero también hay comandos extra disponibles. Para obtener más información sobre cómo habilitar la actualización de dependencias del Dependabot, consulta las secciones "Configurar las Actualizaciones de seguridad del dependabot" y "Habilitar e inhabilitar la actualización de versiones del Dependabot".
Cuando el Dependabot levanta una solicitud de extracción, se te notificará con el método que hayas escogido para el repositorio. Cada solicitud de cambios contiene información detallada sobre el cambio propusto, que se toma del administrador de paquetes. Estas solicitudes de extracción siguen las revisiones y pruebas normales que se definieron en tu repositorio.
Si tienes muchas dependencias para administrar, tal vez quieras personalizar la configuración para cada administrador de paquete y que así, las solicitudes de extracción tengan revisores, asignados, y etiquetas específicos. Para obtener más información, consulta la sección "Personalizar actualizaciones de dependencias".
Visualizar las solicitudes de extracción del Dependabot
- En tu instancia de GitHub Enterprise Server, visita la página principal del repositorio.
- Debajo del nombre de tu repositorio, da clic en
Solicitudes de cambios.

- Cualquier solicitud de cambio de actualizaciones de versión o de seguridad se puede identificar fácilmente.
- El autor es dependabot, la cuenta bot que utiliza el Dependabot.
- Predeterminadamente, tienen la etiqueta
dependencies
.
Cambiar la estrategia de rebase para las solicitudes de extracción del Dependabot
Predeterminadamente, el Dependabot rebasa automáticamente las solicitudes de extracción para resolver cualquier conflicto. Si prefieres manejar los conflictos de fusión manualmente, puedes inhabilitar esta opción utilizando la opción de rebase-strategy
. Para obtener más detalles, consulta la sección "Opciones de configuración para el archivo dependabot.yeml".
Administrar las solicitudes de extracción del Dependabot con comandos de comentario
El Dependabot responde a comandos simples en los comentarios. Cada solicitud de cambios contiene detalles de los comandos que puedes utilizar para procesarla (por ejemplo: para fusionarla, combinarla, reabrirla, cerrarla o rebasarla) bajo la sección de "comandos y opciones del Dependabot". El objetivo es facilitar tanto como sea posible el que se pueda clasificar automáticamente las solicitudes de extracción generadas.
Puedes utilizar cualquiera de los siguientes comandos en una solicitud de cambios del Dependabot.
@dependabot cancel merge
cancela una fusión previamente solicitada.@dependabot close
cierra la solicitud de cambios y previene que el Dependabot vuelva a crearla. Puedes lograr el mismo resultado si cierras la solicitud de cambios manualmente.@dependabot ignore this dependency
cierra la solicitud de cambios y previene que Dependabot cree más solicitudes de cambios para esta dependencia (a menos de que vuelvas a abrir la solicitud de cambios para mejorarla a la versión sugerida de la dependencia tú mismo).@dependabot ignore this major version
cierra la solicitud de cambios y previene que el Dependabot cree más solicitudes de cambio para esta versión mayor (a menos de que vuelvas a abrir la solicitud de cambios o de que tú mismo mejores a esta versión mayor).@dependabot ignore this minor version
cierra la solicitud de cambios y previene que el Dependabot cree más solicitudes de cambio para esta versión menor (a menos de que vuelvas a abrir la solicitud de cambios o que tú mismo mejores a esta versión menor).@dependabot merge
fusiona la solicitud de cambios una vez que tus pruebas de IC hayan pasado.@dependabot rebase
rebasa la solicitud de cambios.@dependabot recreate
vuelve a crear la solicitud de cambios, sobreescribiendo cualquier edición que se le haya hecho.@dependabot reopen
vuelve a abrir la solicitud de cambios si es que se había cerrado.@dependabot squash and merge
combina y fusiona la solicitud de cambios una vez que hayan pasado tus pruebas de IC.
El Dependabot reaccionará con un emoji de "pulgares arriba" para reconocer el comando y podrá responder con un comentario de la solicitud de cambios. Si bien el Dependabot a menudo responde rápidamente, algunos comandos podrían tardar varios minutos para completarse si el Dependabot está ocupado procesando otras actualizaciones o comandos.
Si ejecutas cualquiera de los comandos para ignorar las dependencias o las versiones, el Dependabot almacena las preferencias para el repositorio centralmente. Si bien esta es una solución rápida, para aquellos repositorios con más de un colaborador, es mejor definir explícitamente las dependencias y versiones a ignorar en el archivo de configuración. Esto hace que todos los colaboradores puedan ver más fácilmente por qué una dependencia en particular no se está actualizando automáticamente. Para obtener más información, consulta la sección "Opciones de configuración para el archivo dependabot.yml".