À propos des Dependabot version updates pour les actions
Les actions sont souvent mises à jour avec des correctifs de bogues et de nouvelles fonctionnalités pour rendre les processus automatisés plus fiables, plus rapides et plus sûrs. Quand vous activez les Dependabot version updates pour GitHub Actions, Dependabot aide à garantir que les références aux actions dans le fichier workflow.yml d’un référentiel et les workflows réutilisables utilisés dans les workflows sont maintenus à jour.
Pour chaque action dans le fichier, Dependabot vérifie la référence de l’action (généralement un numéro de version ou un identificateur de commit associé à l’action) par rapport à la dernière version. Pour plus d’informations sur la version des créateurs d’actions, consultez « Utilisation de Release Management pour vos actions personnalisées ».
Si une version plus récente de l’action est disponible, Dependabot vous envoie une demande de tirage (pull request) qui met à jour la référence dans le fichier de workflow vers la dernière version. Pour plus d’informations sur Dependabot version updates, consultez « À propos des mises à jour de version Dependabot ». Pour plus d’informations sur la configuration des workflows pour GitHub Actions, consultez « Écriture de workflows ».
Dependabot vérifie également les fichiers de workflow pour les utilisations de workflows réutilisables et met à jour la référence git pour ces workflows réutilisables. Pour plus d’informations sur les workflows réutilisables, consultez « Réutilisation des workflows ».
Note
Les exécutions de workflow déclenchées par les demandes de tirage de Dependabot s’exécutent comme si elles provenaient d’un référentiel dupliqué et utilisent donc un GITHUB_TOKEN
en lecture seule. Ces exécutions de workflow ne peuvent pas accéder à des secrets. Pour plus d’informations sur les stratégies de sécurisation de ces workflows, consultez « Durcissement de la sécurité pour GitHub Actions ».
Activation des Dependabot version updates pour les actions
Vous pouvez configurer les Dependabot version updates pour maintenir vos actions ainsi que les bibliothèques et packages dont vous dépendez.
- Si vous avez déjà activé les Dependabot version updates pour d’autres écosystèmes ou gestionnaires de packages, ouvrez simplement le fichier
dependabot.yml
existant. Sinon, créez un fichier de configurationdependabot.yml
dans le répertoire.github
de votre référentiel. Pour plus d’informations, consultez « Configuration de mises à jour de version Dependabot ». - Spécifiez
"github-actions"
comme élémentpackage-ecosystem
à superviser. - Définissez
directory
sur"/"
pour rechercher les fichiers de workflow dans.github/workflows
. - Définissez un
schedule.interval
pour spécifier la fréquence à laquelle rechercher les nouvelles versions. - Vérifiez le fichier de configuration dependabot.yml dans le répertoire
.github
du référentiel. Si vous avez modifié un fichier existant, enregistrez vos modifications.
Vous pouvez également activer les Dependabot version updates sur les duplications (fork). Pour plus d’informations, consultez « Configuration de mises à jour de version Dependabot ».
Exemple de fichier dependabot.yml
pour GitHub Actions
L’exemple de fichier dependabot.yml
ci-dessous configure les mises à jour de version pour GitHub Actions. directory
doit être défini sur "/"
pour rechercher les fichiers de workflow dans .github/workflows
. La propriété schedule.interval
a la valeur "weekly"
. Une fois ce fichier archivé ou mis à jour, Dependabot recherche les nouvelles versions de vos actions. Dependabot déclenche des demandes de tirage pour les mises à jour de version pour toutes les actions obsolètes qu’il trouve. Après les mises à jour de la version initiale, Dependabot continue à rechercher les versions obsolètes des actions une fois par semaine.
# Set update schedule for GitHub Actions
version: 2
updates:
- package-ecosystem: "github-actions"
directory: "/"
schedule:
# Check for updates to GitHub Actions every week
interval: "weekly"
Configuration des Dependabot version updates pour les actions
Quand vous activez les Dependabot version updates pour les actions, vous devez spécifier des valeurs pour package-ecosystem
, directory
et schedule.interval
. Il existe de nombreuses propriétés facultatives que vous pouvez définir pour personnaliser davantage vos mises à jour de version. Pour plus d’informations, consultez « Options de configuration pour le fichier dependabot.yml ».