Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Opciones de configuración para actualizaciones de dependencias

La información detallada para todas las opciones que puedes utilizar para personalizar como el Dependabot de GitHub mantiene tus repositorios.

Las personas con permisos de escritura en un repositorio pueden configurar Dependabot de GitHub para el mismo.

En este artículo

¿Te ayudó este documento?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

O, learn how to contribute.

Nota: Las Actualizaciones de versión para el Dependabot de GitHub se encuentran actualmente en beta y están sujetas a cambios. Para utilizar la característica del beta, revisa el archivo de configuración para indicar al Dependabot de GitHub cuáles dependencias debe mantener para ti. Para obtener más detalles, consulta la sección "Habilitar e inhabilitar las actualizaciones de versión."

Acerca del archivo dependabot.yml

El archivo de configuración del Dependabot de GitHub, dependabot.yml, utiliza la sintaxis YAML. Si eres nuevo en YAML y deseas conocer más, consulta "Aprender YAML en cinco minutos".

Debes almacenar este archivo en el directorio .github de tu repositorio. Cuando agregas o actualizas el archivo dependabot.yml, esto activa una revisión inmediata de las actualizaciones de la versión. Cualquier opción que también afecte a las actualizaciones de seguridad se utilizará en la siguiente ocasión que una alerta de seguridad active una solicitud de extracción para una alerta de seguridad. Para obtener más información, consulta las secciónes "Habilitar e inhabilitar las actualizaciones de versión" y "Configurar las Actualizaciones de seguridad del Dependabot de GitHub".

Opciones de configuración para dependabot.yml

El archivo dependabot.yml debe comenzar con version: 2, seguido de un conjunto de updates.

OpciónRequeridoDescripción
package-ecosystemXAdministrador de paquetes a utilizar
directorioXUbicación de los manifiestos del paquete
schedule.intervalXQué tan a menudo se revisará si hay actualizaciones
allowPersonalizar qué actualizaciones se permitirán
asignatariosLos asignados a configurar en las solicitudes de extracción
commit-messagePreferencias de mensaje de confirmación
ignoreIgnorar ciertas dependencias o versiones
etiquetasLas etiquetas a configurar en las solicitudes de extracción
hitoHito a configurar en las solicitudes de extracción
open-pull-requests-limitLimitar la cantidad de solicitudes de extracción abiertas para las actualizaciones de versión
pull-request-branch-name.separatorCambiar el separador para los nombres de rama de la solicitud de extracción
rebase-strategyInhabilitar el rebase automático
reviewersLos revisores a configurar en las solicitudes de extracción
schedule.dayDía de la semana para revisar si hay actualizaciones
schedule.timeHora del día para revisar si hay actualizaciones (hh:mm)
schedule.timezoneHuso horario para la hora del día (identificador de zona)
target-branchRama contra la cual se creará la solicitud de extracción
versioning-strategyCómo actualizar los requisitos de la versión del manifiesto

Estas opciones caen a groso modo en las siguientes categorías.

Adicionalmente, la opción open-pull-requests-limit cambia la cantidad máxima de solicitudes de extracción para las actualizaciones de versión que puede abrir el Dependabot de GitHub.

Nota: Algunas de estas opciones de configuración también pueden afectar a las solicitudes de extracción que se levantan para las actualizaciones de seguridad de los manifiestos delos paquetes vulnerables.

Las actualizaciones de seguridad se levantan para los manifiestos de paquetes vulnerables únicamente en la rama predeterminada. Cuando se establecen las opciones de configuración para la misma rama (como "true" a menos de que utilices target-branch), y se especifica un package-ecosystem y directory para el manifiesto vulnerable, entonces las solicitudes de extracción para las actualizaciones de seguridad utilizan las opciones relevantes.

En general, las actualizaciones de seguridad utilizan cualquier opción de configuración que afecte las solicitudes de extracción, por ejemplo, agregar metadatos o cambiar su comportamiento. Para obtener más información acerca de las actualizaciones de seguridad, consulta la sección "Configurar Actualizaciones de seguridad del Dependabot de GitHub".

package-ecosystem

Requerido Agregas un elemento de package-ecosystem para cada administrador de paquetes que quieras que el Dependabot de GitHub monitoree para revisar si hay nuevas versiones. El repositorio también debe contener un manifiesto de dependencia o archivo fijado de estos administradores de paquete.

  • Bundler: bundler
  • Cargo: cargo
  • Composer: composer
  • Docker: docker
  • Elm: elm
  • git submodule: gitsubmodule
  • GitHub Actions: github-actions
  • Go modules: gomod
  • Gradle: gradle
  • Maven: maven
  • Mix: mix
  • npm: npm
  • NuGet: nuget
  • pip: pip
  • Terraform: terraform
# Basic set up for three package managers

version: 2
updates:

  # Maintain dependencies for GitHub Actions
  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      interval: "daily"

  # Maintain dependencies for npm
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"

  # Maintain dependencies for Composer
  - package-ecosystem: "composer"
    directory: "/"
    schedule:
      interval: "daily"

directorio

Requerido Debes definir la ubicación de los manifiestos de paquete para cada administrador de paquete (por ejemplo, el package.json o Gemfile). Tú definierás el directorio relativo a la raíz del repositorio para todos los ecosistemas, menos para GitHub Actions. Para GitHub Actions, configura el directorio para que sea / y así revisar los archivos de flujo de trabajo en .github/workflows.

# Specify location of manifest files for each package manager

version: 2
updates:
  - package-ecosystem: "composer"
    # Files stored in repository root
    directory: "/"
    schedule:
      interval: "daily"

  - package-ecosystem: "npm"
    # Files stored in `app` directory
    directory: "/app"
    schedule:
      interval: "daily"

  - package-ecosystem: "github-actions"
    # Workflow files stored in the
    # default location of `.github/workflows`
    directory: "/"
    schedule:
      interval: "daily"

schedule.interval

Requerido Debes definir qué tan a menudo se debe revisar si hay nuevas versiones y levantar solicitudes de extracción para las actualizaciones de versión en cada administrador de paquetes. Predeterminadamente, esto ocurre a las 5am UTC. Para modificar esto, utiliza schedule.time and schedule.timezone.

  • daily—se ejecuta en cada día de la semana, de Lunes a Viernes.
  • weekly—se ejecuta una vez cada semana. Predeterminadamente, esto ocurre los lunes. Para modificar esto, utiliza schedule.day.
  • monthly—se ejecuta una vez al mes. Esto ocurre en el primer día de cada mes.
# Set update schedule for each package manager

version: 2
updates:

  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      # Check for updates to GitHub Actions every weekday
      interval: "daily"

  - package-ecosystem: "composer"
    directory: "/"
    schedule:
      # Check for updates managed by Composer once a week
      interval: "weekly"

allow

Predeterminadamente, todas las dependencias que se definen explícitamente en un manifiesto o archivo fijado se mantienen actualizadas. Puedes utilizar allow e ignore para personalizar qué dependencias quieres mantener con las actualizaciones de versión. El Dependabot de GitHub revisa las dependencias permitidas y después filtra cualquier dependencia o versión ignorada. Así que se ignorará cualquier dependencia que empate tanto con allow como con ignore.

Utiliza la opción allow para personalizar qué dependencias se actualizan. Esto no impacta en las actualizaciones de seguridad para las dependencias vulnerables. Puedes utilizar las siguientes opciones:

  • dependency-name—se utiliza para permitir actualizaciones para las dependencias con nombres coincidentes, opcionalmente, utiliza * para empatar cero o más caracteres. Para las dependencias de Java, el formato del atributo dependency-name es: groupId:artifactId, por ejemplo: org.kohsuke:github-api.

  • dependency-type—utilízalo para permitir actualizaciones para dependencias de tipos específicos.

    Tipos de dependenciaAdministradores de paquete compatiblesPermitir actualizaciones
    directTodasTodas las dependencias definidas explícitamente.
    indirectbundler, pip, composer, cargoLas dependencias de las dependencias directas (también conocidas como sub-dependencias, o dependencias transitorias).
    todosTodasTodas las dependencias definidas explícitamente. Para bundler, pip, composer, cargo, también las dependencias de las dependencias directas.
    productionbundler, composer, mix, maven, npm, pipÚnicamente las dependencias en el "Grupo de dependencias del producto".
    developmentbundler, composer, mix, maven, npm, pipÚnicamente las dependencias en el "Grupo de dependencias de desarrollo".
# Customizing the dependencies to maintain with `allow`

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    allow:
      # Allow updates for Lodash
      - dependency-name: "lodash"
      # Allow updates for React and any packages starting "react"
      - dependency-name: "react*"

  - package-ecosystem: "composer"
    directory: "/"
    schedule:
      interval: "daily"
    allow:
      # Allow both direct and indirect updates for all packages
      - dependency-type: "all"

  - package-ecosystem: "pip"
    directory: "/"
    schedule:
      interval: "daily"
    allow:
      # Allow only direct updates for
      # Django and any packages starting "django"
      - dependency-name: "django*"
        dependency-type: "direct"
      # Allow only production updates for Sphinx
      - dependency-name: "sphinx"
        dependency-type: "production"

asignatarios

Utiliza assignees para especificar a los asignados individuales para todas las solicitudes de extracción levantadas para un administrador de paquete.

Configurar esta opción también afectará a las solicitudes de extracción para las actualizaciones de seguridad en los archivos de manifiesto de este administrador de paquete, a menos de que utilices target-branch para revisar las actualizaciones de versión en una rama diferente a la predeterminada.

# Specify assignees for pull requests

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    # Add assignees
    assignees:
      - "octocat"

commit-message

Predeterminadamente, el Dependabot de GitHub intenta detectar tus preferencias de mensajes de confirmación y utiliza patrones similares. Utiliza la opcióncommit-message para especificar tus preferencias explícitamente.

Opciones compatibles

  • prefix especifica un prefijo para todos los mensajes de confirmación.
  • prefix-development especifica un prefijo separado para todos los mensajes de confirmación que actualizan dependencias en el grupo de dependencias de desarrollo. Cuando especificas un valor para esta opción, prefix se utiliza únicamente para las actualizaciones a las dependencias en el grupo de dependencias de producción. Esto es compatible con: bundler, composer, mix, maven, npm, y pip.
  • include: "scope" especifica que cualquier prefijo es sucedido por una lista de dependencias actualizadas en la confirmación.

Configurar esta opción también afectará a las solicitudes de extracción para las actualizaciones de seguridad en los archivos de manifiesto de este administrador de paquete, a menos de que utilices target-branch para revisar las actualizaciones de versión en una rama diferente a la predeterminada.

# Customizing commit messages

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    commit-message:
      # Prefix all commit messages with "npm"
      prefix: "npm"

  - package-ecosystem: "composer"
    directory: "/"
    schedule:
      interval: "daily"
    # Prefix all commit messages with "Composer"
    # include a list of updated dependencies
    commit-message:
      prefix: "Composer"
      include: "scope"

  - package-ecosystem: "pip"
    directory: "/"
    schedule:
      interval: "daily"
    # Include a list of updated dependencies
    # with a prefix determined by the dependency group
    commit-message:
      prefix: "pip prod"
      prefix-development: "pip dev"
      include: "scope"

ignore

Advertencia: Antes de que agregues una opción de ignore al archivo de configuración dependabot.yml, revisa si el repositorio ya tiene alguna preferencia de ignorar (Que se haya creado utilizando los comandos de @dependabot ignore). Cuando agregas una opción de ignore al archivo de configuración dependabot.yml, esto ignora cualquier preferencia de ignorar almacenada centralmente para ese administrador de paquetes, rama, y directorio.

Esto afecta a las actualizaciones tanto de seguridad como de versión.

Revisar por preferencias ignoradas existentes

Antes de que agreges una opción de ignore al archivo de configuración, revisa si has utilizado previamente cualquiera de los comandos de @dependabot ignore en una solicitud de extracción de actualizaciones de seguridad o de versión. El Dependabot de GitHub almacena estas preferencias para cada administrador de paquetes centralmente, y esta información se sobreescribe mediante la opción ignore. Para obtener más información acerca de los comandos de @dependabot ignore, consulta la sección "Administrar las solicitudes de extracción para las actualizaciones de dependencias".

Puedes revisar si un repositorio ha almacenado las preferencias si buscas dicho repositorio con "@dependabot ignore" in:comments. Si revias alguna solicitud de extracción en los resultados, puedes decidir si quieres o no especificar esas dependencias o versiones ignoradas en el archivo de configuración.

Especificar dependencias y versiones para ignorar

Predeterminadamente, todas las dependencias que se definen explícitamente en un manifiesto o archivo fijado se mantienen actualizadas. Puedes utilizar allow e ignore para personalizar qué dependencias quieres mantener con las actualizaciones de versión. El Dependabot de GitHub revisa las dependencias permitidas y después filtra cualquier dependencia o versión ignorada. Así que se ignorará cualquier dependencia que empate tanto con allow como con ignore.

Puedes utilizar la opción ignore para personalizar qué dependencias se actualizarán. La opción ignore es compatible con las siguientes opciones.

  • dependency-name—se utiliza para ignorar actualizaciones para las dependencias con nombres coincidentes, opcionalmente, utiliza * para empatar cero o más caracteres. Para las dependencias de Java, el formato del atributo dependency-name es: groupId:artifactId, por ejemplo: org.kohsuke:github-api.
  • versions—se utiliza para ignorar versiones o rangos específicos de las versiones. Si quieres definir un rango, utiliza el patrón estándar del administrador de paquetes (por ejemplo: ^1.0.0 para npm, o ~> 2.0 para Bundler).

Configurar esta opción también afectará a las solicitudes de extracción para las actualizaciones de seguridad en los archivos de manifiesto de este administrador de paquete, a menos de que utilices target-branch para revisar las actualizaciones de versión en una rama diferente a la predeterminada.

# Customizing the dependencies to maintain with `ignore`

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "express"
        # For Express, ignore all updates for version 4 and 5
        versions: ["4.x", "5.x"]
        # For Loadash, ignore all updates
      - dependency-name: "loadash"

Las Actualizaciones de versión para el Dependabot de GitHub no pueden ejecutar actualizaciones de versiones para ninguna dependencia en los manifiestos que contengan dependencias privadas de git o registros privados de git, aún si agregas las dependencias privadas a la opción de ignore en tu archivo de configuración. Para obtener más información, consulta la sección "Acerca de Actualizaciones de versión para el Dependabot de GitHub".

etiquetas

Predeterminadamente, el Dependabot de GitHub levanta todas las solicitudes de extracción con la etiqueta dependencies. Si se define más de un administrador de paquetes, Dependabot incluye una etiqueta adicional en cada una de las solicitudes de extracción. Esto indica qué lenguaje o ecosistema actualizará la solicitud de extracción, por ejemplo: java para las actualizaciones de Gradle submodules para las actualizaciones de los submódulos de git. El Dependabot de GitHub crea estas etiquetas predeterminadas automáticamente, de acuerdo lo necesite tu repositorio.

Utiliza labels para anular las etiquetas predeterminadas y especificar las etiquetas alternas para todas las solicitudes de extracción que se levante para un administrador de paquete. Si ninguna de estas etiquetas se define en el repositorio, entonces se ha ignorado. Para inhabilitar todas las etiquetas, incluyendo aquellas predeterminadas, utiliza labels: [ ].

Configurar esta opción también afectará a las solicitudes de extracción para las actualizaciones de seguridad en los archivos de manifiesto de este administrador de paquete, a menos de que utilices target-branch para revisar las actualizaciones de versión en una rama diferente a la predeterminada.

# Specify labels for pull requests

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    # Specify labels for npm pull requests
    labels:
      - "npm"
      - "dependencies"

hito

Utiliza milestone para asociar todas las solicitudes de extracción que se han levantado para un administrador de paquete con un hito. Necesitas especificar el identificador numérico del hito y, no así, su etiqueta. Si ves un hito, la parte final de la URL de la página, después de milestone, es el identificador. Por ejemplo: https://github.com/<org>/<repo>/milestone/3.

Configurar esta opción también afectará a las solicitudes de extracción para las actualizaciones de seguridad en los archivos de manifiesto de este administrador de paquete, a menos de que utilices target-branch para revisar las actualizaciones de versión en una rama diferente a la predeterminada.

# Specify a milestone for pull requests

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    # Associate pull requests with milestone "4"
    milestone: 4

open-pull-requests-limit

Predeterminadamente, Dependabot de GitHub abre un máximo de cinco solicitudes de extracción para las actualizaciones de versión. Una vez que haya cinco solicitudes de extracción abiertas, las nuevas solicitudes se bloquearán hasta que fusiones o cierres alguna de las que están abiertas. Utiliza open-pull-requests-limit para cambiar este límite. Esto también proporciona una forma simple de inhabilitar temporalmente las actualizaciones de versión para un administrador de paquete.

Esta opción no tiene impacto en las actualizaciones de seguridad que tienen un límite separado e interno de diez solicitudes de extracción abiertas.

# Changing the number of open pull requests allowed

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0

  - package-ecosystem: "pip"
    directory: "/"
    schedule:
      interval: "daily"
    # Allow up to 10 open pull requests for pip dependencies
    open-pull-requests-limit: 10

pull-request-branch-name.separator

El Dependabot de GitHub genera una rama para cada solicitud de extracción. Cada nombre de rama incluye dependabot, y el administrador de paquete y la dependencia que se actualizaron. Predeterminadamente, estas partes están separadas por un símbolo de /, por ejemplo: dependabot/npm_and_yarn/next_js/acorn-6.4.1.

Utiliza pull-request-branch-name.separator para especificar un separador diferente. Este puede ser alguno de entre: "-", _ o /. El símbolo de guión debe estar entre comillas porque, de lo contrario, se interpretará como que está declarando una lista YAML vacía.

Configurar esta opción también afectará a las solicitudes de extracción para las actualizaciones de seguridad en los archivos de manifiesto de este administrador de paquete, a menos de que utilices target-branch para revisar las actualizaciones de versión en una rama diferente a la predeterminada.

# Specifying a different separator for branch names

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    pull-request-branch-name:
      # Separate sections of the branch name with a hyphen
      # for example, `dependabot-npm_and_yarn-next_js-acorn-6.4.1`
      separator: "-"

rebase-strategy

Predeterminadamente, el Dependabot de GitHub rebasa automáticamente las solicitudes de extracción abiertas cuando detecta conflictos. Utiliza rebase-strategy para inhabilitar este comportamiento.

Estrategias de rebase disponibles

  • disabled para inhabilitar el rebase automático.
  • auto para utilizar el comportamiento predeterminado y rebasar las solicitudes de extracción abiertas cuando se detecten conflictos.

Configurar esta opción también afectará a las solicitudes de extracción para las actualizaciones de seguridad en los archivos de manifiesto de este administrador de paquete, a menos de que utilices target-branch para revisar las actualizaciones de versión en una rama diferente a la predeterminada.

# Disabling automatic rebasing

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    # Disable rebasing for npm pull requests
    rebase-strategy: "disabled"

reviewers

Utiliza reviewers para especificar los revisores o equipos individuales de revisores para las solicitudes de extracción que se levantaron para un administrador de paquete. Debes utilizar el nombre completo del equipo, incluyendo la organización, como si lo estuvieras @mencionando.

Configurar esta opción también afectará a las solicitudes de extracción para las actualizaciones de seguridad en los archivos de manifiesto de este administrador de paquete, a menos de que utilices target-branch para revisar las actualizaciones de versión en una rama diferente a la predeterminada.

# Specify reviewers for pull requests

version: 2
updates:
  - package-ecosystem: "pip"
    directory: "/"
    schedule:
      interval: "daily"
    # Add reviewers
    reviewers:
      - "octocat"
      - "my-username"
      - "my-org/python-team"

schedule.day

Cuando configuras un calendario de actualización en weekly, predeterminadamente, el Dependabot de GitHub revisa las nuevas versiones los lunes a las 05:00 UTC. Utiliza schedule.day para especificar un día alterno para revisar si hay actualizaciones.

Valores compatibles

  • monday
  • tuesday
  • wednesday
  • thursday
  • friday
  • saturday
  • sunday
# Specify the day for weekly checks

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
      # Check for npm updates on Sundays
      day: "sunday"

schedule.time

Predeterminadamente, el Dependabot de GitHub revisa si hay nuevas versiones a las 05:00 UTC. Utiliza schedule.time para especificar una hora alterna para revisar si hay actualizaciones (formato: hh:mm).

# Set a time for checks
version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
      # Check for npm updates at 9am UTC
      time: "09:00"

schedule.timezone

Predeterminadamente, el Dependabot de GitHub revisa si hay nuevas versiones a las 05:00 UTC. Utiliza schedule.timezone para especificar un huso horario alternativo. El identificador de zona debe ser tomado de la base de datos de Husos Horarios que mantiene iana. Para obtener más información, consulta la Lista de bases de datos tz para husos horarios.

# Specify the timezone for checks

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
      time: "09:00"
      # Use Japan Standard Time (UTC +09:00)
      timezone: "Asia/Tokyo"

target-branch

Predeterminadamente, el Dependabot de GitHub revisa si hay archivos de manifiesto en las ramas predeterminadas y levanta solicitudes de extracción para las actualizaciones de versión contra dicha rama. Utiliza target-branch para especificar una rama diferente para los archivos de manifiesto y para las solicitudes de extracción. Cuando utilizas esta opción, la configuración para este administrador de paquete ya no afectará ninguna solicitud de extracción que se haya levantado para las actualizaciones de seguridad.

# Specify a non-default branch for pull requests for pip

version: 2
updates:
  - package-ecosystem: "pip"
    directory: "/"
    schedule:
      interval: "daily"
    # Raise pull requests for version updates
    # to pip against the `develop` branch
    target-branch: "develop"
    # Labels on pull requests for version updates only
    labels:
      - "pip dependencies"

  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
      # Check for npm updates on Sundays
      day: "sunday"
    # Labels on pull requests for security and version updates
    labels:
      - "npm dependencies"

versioning-strategy

Cuando el Dependabot de GitHub edita un archivo de manifiesto para actualizar una versión, utiliza las siguientes estrategias generales:

  • Para las apps, los requisitos de versión se incrementan, por ejemplo: npm, pip y Composer.
  • Para las bibliotecas, el rango de versiones se amplía, por ejemplo: Bundler y Cargo.

Utiliza la opción versioning-strategy para cambiar este comportamiento para los administradores de paquete compatibles.

Configurar esta opción también afectará a las solicitudes de extracción para las actualizaciones de seguridad en los archivos de manifiesto de este administrador de paquete, a menos de que utilices target-branch para revisar las actualizaciones de versión en una rama diferente a la predeterminada.

Estrategias de actualización disponibles

OpciónCompatible conAcción
lockfile-onlybundler, cargo, composer, mix, npm, pipCrear únicamente solicitudes de extracción para actualizar los archivos fijados. Ignorar cualquier versión nueva que pudiera requerir cambios en el paquete del manifiesto.
autobundler, cargo, composer, mix, npm, pipSeguir la estrategia predeterminada descrita anteriormente.
widencomposer, npmRelajar el requisito de versión para que incluya tanto la versión nueva como la anterior, cuando sea posible.
increasebundler, composer, npmSiempre incrementar el requisito de versión para que empate con la versión nueva.
increase-if-necessarybundler, composer, npmIncrementar el requisito de versión únicamente cuando lo requiera la versión nueva.
# Customizing the manifest version strategy

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    # Update the npm manifest file to relax
    # the version requirements
    versioning-strategy: widen

  - package-ecosystem: "composer"
    directory: "/"
    schedule:
      interval: "daily"
    # Increase the version requirements for Composer
    # only when required
    versioning-strategy: increase-if-necessary

  - package-ecosystem: "pip"
    directory: "/"
    schedule:
      interval: "daily"
    # Only allow updates to the lockfile for pip and
    # ignore any version updates that affect the manifest
    versioning-strategy: lockfile-only

¿Te ayudó este documento?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

O, learn how to contribute.