Nota: Para poder utilizar esta característica, el administrador del sitio debe configurar Dependabot updates para tu instancia de GitHub Enterprise Server. Para obtener más información, vea «Habilitación de Dependabot para la empresa».
Acerca de Dependabot version updates
El Dependabot hace el esfuerzo de mantener tus dependencias. Puedes utilizarlo para garantizar que tu repositorio se mantenga automáticamente con los últimos lanzamientos de los paquetes y aplicaciones de los que depende.
Para habilitar Dependabot version updates, comprueba un archivo de configuración dependabot.yml en el repositorio. Este archivo de configuración especifica la ubicación del manifiesto o de otros archivos de definición de paquetes almacenados en tu repositorio. Dependabot usa esta información para comprobar si hay aplicaciones y paquetes obsoletos. Dependabot determina si hay una versión nueva de una dependencia buscando el control de versiones semántico (SemVer) de la dependencia para decidir si debería actualizarla a esa versión. Para ciertos administradores de paquetes, Dependabot version updates también es compatible con su delegación a proveedores. Las dependencias delegadas (o almacenadas en caché) son aquellas que se registran en un directorio específico en un repositorio en vez de que se referencien en un manifiesto. Las dependencias delegadas a proveedores están disponibles desde el momento de su creación, incluso si los servidores de paquetes no se encuentran disponibles. Las Dependabot version updates pueden configurarse para verificar las dependencias delegadas a proveedores para las nuevas versiones y también pueden actualizarse de ser necesario.
Cuando Dependabot identifica una dependencia obsoleta, genera una solicitud de incorporación de cambios para actualizar el manifiesto a la versión más reciente de la dependencia. Lara las dependencias delegadas a proveedores, el Dependabot levanta una solicitud de cambios para reemplazar la dependencia desactualizada directamente con la versión nueva. Verificas que tu prueba pase, revisas el registro de cambios y notas de lanzamiento que se incluyan en el resumen de la solicitud de extracción y, posteriormente, lo fusionas. Para obtener más información, vea «Configuración de las actualizaciones de versiones de Dependabot».
Si habilita las actualizaciones de seguridad, Dependabot también generará solicitudes de incorporación de cambios para actualizar las dependencias vulnerables. Para obtener más información, vea «Sobre las actualizaciones de seguridad de Dependabot».
Cuando Dependabot genera solicitudes de incorporación de cambios, pueden ser para actualizaciones de seguridad o de versión:
- Dependabot security updates son solicitudes de incorporación de cambios automatizadas que ayudan a actualizar las dependencias con vulnerabilidades conocidas.
- Dependabot version updates son solicitudes de incorporación de cambios automatizadas que mantienen actualizadas las dependencias, incluso cuando no tienen ninguna vulnerabilidad. Para verificar el estado de las actualizaciones de versión, navega a la pestaña de perspectivas de tu repositorio, luego a la gráfica de dependencias, y luego al Dependabot.
GitHub Actions no requiere para que Dependabot version updates y Dependabot security updates se ejecuten en GitHub Enterprise Server. Antes de habilitar Dependabot updates, debes configurar tu instancia de GitHub Enterprise Server para que use GitHub Actions con ejecutores autohospedados. Para más información, consulta "Habilitación de Dependabot para la empresa".
Frecuencia de las solicitudes de extracción del Dependabot
Tú eres quien especifica qué tan a menudo se revisa cada ecosistema para encontrar nuevas versiones en el archivo de configuración: diario, semanalmente, o mensualmente.
Cuando habilitas las actualizaciones de versión por primera vez, podrías tener muchas dependencias desactualizadas y algunas podrían estar varias versiones debajo de la última. Dependabot verifica las dependencias que estén desactualizadas tan pronto se habilita. Podrías ver nuevas solicitudes de extracción para las actualizaciones de versión después de algunos minutos de haber agregado el archivo de configuración, dependiendo de la cantidad de archivos de manifiesto para los cuales configuras las actualizaciones. El Dependabot también ejecutará una actualización en los cambios subsecuentes al archivo de configuración.
Dependabot también podría crear solicitudes de cambios cuando cambias un archivo de manifiesto después de que falló una actualización. Esto es porque los cambios al manifiesto, tales como eliminar la dependencia que ocasionó que fallara la actualización, podrían causar que la actualización recién activada tenga éxito.
Para facilitar la administración y revisión de las solicitudes de incorporación de cambios, Dependabot genera un máximo de cinco solicitudes de incorporación de cambios para comenzar a actualizar a las dependencias a su versión más reciente. Si fusionas algunas de estas primeras solicitudes de cambios en la siguiente actualización programada, aquellas restantes se abrirán en la siguiente actualización, hasta ese máximo. Puede cambiar el número máximo de solicitudes de incorporación de cambios abiertas si establece la opción de configuración open-pull-requests-limit.
Para más información, consulta "Personalizar las actualizaciones de las dependencias".
Si habilitaste las actualizaciones de seguridad, algunas veces verás solicitudes de extracción adicionales para actualizaciones de seguridad. Estas se desencadenan mediante una alerta Dependabot para una dependencia de la rama predeterminada. El Dependabot levanta automáticamente una solicitud de extracción para actualizar la dependencia vulnerable.
Repositorios y ecosistemas compatibles
Puedes configurar las actualizaciones de versión para los repositorios que contengan un manifiesto de dependencias o un archivo fijado para alguno de los administradores de paquetes compatibles. Para algunos administradores de paquetes, también puedes configurar la delegación a proveedores para las dependencias. Para obtener más información, vea «Opciones de configuración para el archivo dependabot.yml».
Nota: Para asegurarte de que GitHub Enterprise Server admite Dependabot updates para las versiones de ecosistema compatibles más recientes, el propietario de la empresa debe descargar la versión más reciente de la acción Dependabot. Para más información sobre la acción e instrucciones sobre cómo descargar la versión más reciente, consulta "Utilizar la última versión de las acciones empaquetadas oficiales".
Nota: Cuando ejecutas actualizaciones de versión o de seguridad, algunos ecosistemas deberán poder resolver todas las dependencias de su fuente para verificar que las actualizaciones sean exitosas. Si tus archivos de manifiesto o de bloqueo contienen cualquier dependencia privada, el Dependabot deberá poder acceder a la ubicación en la que se hospedan dichas dependencias. Los propietarios de las organizaciones pueden otorgar acceso al Dependabot para los repositorios privados que contengan dependencias para un proyecto dentro de la misma organización. Para obtener más información, vea «Administrar la configuración de seguridad y análisis de su organización». Puede configurar el acceso a los registros privados en el archivo de configuración dependabot.yml de un repositorio. Para obtener más información, vea «Opciones de configuración para el archivo dependabot.yml».
El Dependabot no es compatible con dependencias privadas de GitHub para todos los administradores de paquetes. Consulta los detalles en la tabla a continuación.
La siguiente tabla muestra, para cada administrador de paquetes:
- El valor YAML a utilizar en el archivo
dependabot.yml - Las versiones compatibles del administrador de paquetes
- Si las dependencias en los repositorios o registros privados de GitHub son compatibles
- Si las dependencias delegadas a proveedores son compatibles
| Administrador de paquetes | El valor de YAML | Versiones compatibles | Los repositorios privados | Registros privados | Delegamiento a proveedores |
|---|---|---|---|---|---|
| Bundler | bundler | v1, v2 | |||
| Cargo | cargo | v1 | (solo Git) | ||
| Composer | composer | v1, v2 | |||
| Docker | docker | v1 | No aplicable | ||
| Hex | mix | v1 | |||
| elm-package | elm | v0.19 | |||
| submódulo de git | gitsubmodule | No aplicable | No aplicable | ||
| GitHub Actions | github-actions | No aplicable | No aplicable | ||
| Módulos de Go | gomod | v1 | |||
| Gradle | gradle | No aplicable | |||
| Maven | maven | No aplicable | |||
| npm | npm | v6, v7, v8, v9 | |||
| NuGet | nuget | <= 4.8 | |||
| pip | pip | v21.1.2 | |||
| pipenv | pip | <= 2021-05-29 | |||
| pip-compile | pip | 6.1.0 | |||
| poetry | pip | v1 | |||
| pub | pub | v2 | |||
| Terraform | terraform | >= 0,13, <= 1,5.x | No aplicable | ||
| yarn | npm | v1 |
Sugerencia: Para los administradores de paquetes tales como pipenv y poetry, necesitas utilizar el valor pip de YAML. Por ejemplo, si utilizas poetry para administrar tus dependencias de Python y quieres que el Dependabot monitoree el archivo de manifiesto de tu dependencia para encontrar versiones, utiliza package-ecosystem: "pip" en tu archivo de dependabot.yml.
Cargo
La compatibilidad con el registro privado se aplica a los registros de Git y no incluye los registros de carga.
GitHub Actions
Dependabot solo admite actualizaciones de GitHub Actions mediante la sintaxis de repositorio de GitHub, como actions/checkout@v4. Dependabot omitirá las acciones o los flujos de trabajo reutilizables a los que se hace referencia localmente (por ejemplo, ./.github/actions/foo.yml).
Actualmente no se admiten Docker Hub y direcciones URL del Container registry de GitHub Packages. Por ejemplo, no se admiten referencias a acciones de contenedor de Docker mediante la sintaxis docker://.
Dependabot admite repositorios públicos y privados para GitHub Actions. Para ver las opciones de configuración del registro privado, consulta "git" en "Opciones de configuración para el archivo dependabot.yml".
Gradle
Gradle solo se admite para Dependabot version updates.
Dependabot no ejecuta Gradle, pero admite actualizaciones de los siguientes archivos:
build.gradle,build.gradle.kts(para proyectos de Kotlin)- Archivos incluidos a través de la
applydeclaración que tienendependenciesen el nombre de archivo. Ten en cuenta queapplyno es compatible conapply to, con la recursión o con las sintaxis avanzadas (por ejemplo, elapplyde Kotlin conmapOf, que son nombres de archivo que se definen por propiedad).
Maven
Dependabot no ejecuta Maven, pero admite actualizaciones de los archivos pom.xml.
CLI de NuGet
Dependabot no ejecuta la CLI de NuGet, pero admite la mayoría de las características hasta la versión 4.8.
pnpm
pnpm solo se admite para Dependabot version updates. Dependabot security updates no se admite actualmente.
pub
Dependabot no realizará una actualización de pub cuando la versión que intenta actualizar se omite, incluso si hay una versión anterior disponible.
Si tu repositorio ya utiliza una integración para la administración de dependencias, necesitarás inhabilitarlo antes de habilitar el Dependabot.
Acerca de las notificaciones para las actualizaciones de versión del Dependabot
Puedes filtrar tus notificaciones en GitHub para mostrar notificaciones para las solicitudes de cambios que creó el Dependabot. Para obtener más información, vea «Administrar las notificaciones en tu bandeja de entrada».