À propos des Dependabot version updates
Dependabot s’efforce de maintenir vos dépendances. Vous pouvez l’utiliser pour vous assurer que votre dépôt reçoit automatiquement les dernières versions des packages et des applications dont il dépend.
Pour plus d’informations sur les écosystèmes et référentiels pris en charge, consultez Les écosystèmes et dépôts pris en charge par Dependabot.
Vous activez les Dependabot version updates en archivant un fichier de configuration dependabot.yml dans votre référentiel. Le fichier de configuration spécifie l’emplacement du manifeste, ou d’autres fichiers de définition de package, stockés dans votre dépôt. Dependabot utilise ces informations pour rechercher les packages et applications obsolètes. Dependabot détermine s’il existe une nouvelle version d’une dépendance en examinant le versioning sémantique (semver) de celle-ci. Il peut ainsi décider s’il est nécessaire de mettre à jour la dépendance vers cette version. Pour certains gestionnaires de packages, les Dependabot version updates prennent également en charge le placement dans le répertoire vendor. Les dépendances placées dans le répertoire vendor (ou mises en cache) sont des dépendances qui sont archivées dans un répertoire spécifique au sein d’un dépôt plutôt que référencées dans un manifeste. Les dépendances placées dans le répertoire vendor sont disponibles au moment de la génération, même si les serveurs de package ne sont pas disponibles. Les Dependabot version updates peuvent être configurées pour vérifier s’il existe de nouvelles versions pour les dépendances placées dans le répertoire vendor et mettre celles-ci à jour si nécessaire.
Quand Dependabot identifie une dépendance obsolète, il déclenche une demande de tirage (pull request) pour mettre à jour le manifeste vers la dernière version de la dépendance. Pour les dépendances placées dans le répertoire vendor, Dependabot déclenche une demande de tirage pour remplacer la dépendance obsolète par la nouvelle version directement. Vous vérifiez que vos tests réussissent, passez en revue le journal des modifications et les notes de publication incluses dans le résumé de la demande de tirage, puis vous la fusionnez. Pour plus d’informations, consultez « Configuration de mises à jour de version Dependabot ».
Si vous activez les mises à jour de sécurité, Dependabot déclenche également des demandes de tirage pour mettre à jour les dépendances vulnérables. Pour plus d’informations, consultez « À propos des mises à jour de sécurité Dependabot ».
Quand Dependabot déclenche des demandes de tirage, celles-ci peuvent concerner des mises à jour de sécurité ou de version :
- Les Dependabot security updates sont des demandes de tirage automatisées qui vous aident à mettre à jour les dépendances qui ont des vulnérabilités connues.
- Les Dependabot version updates sont des demandes de tirage automatisées qui tiennent à jour les dépendances, même si elles ne présentent aucune vulnérabilité. Pour vérifier l’état des mises à jour de version, accédez à l’onglet Insights de votre dépôt, puis sélectionnez Dependency Graph et Dependabot.
Dependabot signe ses propres commits par défaut, même si la signature des commits n'est pas une exigence pour le référentiel. Pour plus d’informations sur les commits vérifiés, consultez À propos de la vérification des signatures de commit.
Les demandes de tirage ouvertes par Dependabot peuvent déclencher des workflows qui exécutent des actions. Pour plus d’informations, consultez Automatisation de Dependabot avec GitHub Actions.
Si vous activez Dependabot sur un nouveau référentiel et que GitHub Actions est activé, Dependabot s’exécute sur GitHub Actions par défaut.
Si vous activez Dependabot sur un nouveau référentiel et que vous avez désactivé GitHub Actions, Dependabot s'exécutera sur l'application héritée dans GitHub pour effectuer Dependabot updates. Cela ne permet pas d'obtenir des performances, une visibilité ou un contrôle des tâches Dependabot updates aussi bons que ceux de GitHub Actions. Si vous souhaitez utiliser Dependabot avec GitHub Actions, vous devez vous assurer que votre référentiel active GitHub Actions, puis activer « Dependabot sur les exécuteurs Actions » à partir de la page de paramètres « Advanced Security » du référentiel. Pour plus d’informations, consultez À propos de Dependabot sur les exécuteurs GitHub Actions.
Dependabot et toutes les fonctionnalités associées sont couverts par votre contrat de licence. Pour plus d’informations, consultez GitHub Conditions applicables aux entreprises clientes.
Fréquence des demandes de tirage Dependabot
Vous spécifiez la fréquence à laquelle vérifier chaque écosystème pour déterminer s’il existe de nouvelles versions dans le fichier de configuration : quotidienne, hebdomadaire ou mensuelle.
Lorsque vous activez les mises à jour de version pour la première fois, vous pouvez avoir de nombreuses dépendances obsolètes et certaines peuvent remonter à de nombreuses versions avant la dernière version. Dependabot recherche les dépendances obsolètes dès qu’il est activé. Vous pouvez voir de nouvelles demandes de tirage pour les mises à jour de version dans les minutes qui suivent l’ajout du fichier de configuration, en fonction du nombre de fichiers manifeste pour lesquels vous configurez les mises à jour. Dependabot exécute également une mise à jour sur les modifications suivantes apportées au fichier de configuration.
Pour que les demandes de tirage restent faciles à gérer et à réviser, Dependabot déclenche un maximum de cinq demandes de tirage pour commencer à mettre les dépendances à niveau vers la version la plus récente. Si vous fusionnez certaines de ces premières demandes de tirage avant la prochaine mise à jour planifiée, les demandes de tirage restantes seront ouvertes au cours de la prochaine mise à jour, jusqu’à ce maximum. Vous pouvez modifier le nombre maximal de demandes de tirage ouvertes en définissant l’option de configuration open-pull-requests-limit.
Pour réduire davantage le nombre de demandes de tirage que vous pouvez voir, vous pouvez utiliser l’option de configuration groups pour regrouper des ensembles de dépendances (par écosystème de packages). Dependabot génère alors une seule demande de tirage pour mettre à jour simultanément autant de dépendances que possible dans le groupe vers les dernières versions. Pour plus d’informations, consultez Optimisation de la création de demandes de tirage pour les mises à jour de version de Dependabot.
Si vous avez activé les mises à jour de sécurité, vous voyez parfois des demandes de tirage supplémentaires pour les mises à jour de sécurité. Celles-ci sont déclenchées par une alerte Dependabot pour une dépendance sur votre branche par défaut. Dependabot déclenche automatiquement une demande de tirage pour mettre à jour la dépendance vulnérable.
Parfois, en raison d’une configuration incorrecte ou d’une version incompatible, vous pouvez voir qu’une exécution de Dependabot a échoué. Après 15 échecs d’exécution, Dependabot version updates ignorera les exécutions planifiées suivantes jusqu’à ce que vous déclenchiez manuellement une vérification des mises à jour à partir du graphe des dépendances. Dependabot security updates va néanmoins toujours s’exécuter comme d’habitude.
À propos de la désactivation automatique des Dependabot updates
Lorsque les chargés de la maintenance d’un référentiel cessent d’interagir avec les demandes de tirage de Dependabot, Dependabot suspend temporairement ses mises à jour et vous en informe. Consultez Les demandes de tirage de mise à jour de Dependabot ne sont plus générées.
À propos des notifications pour les mises à jour de version Dependabot
Vous pouvez filtrer vos notifications sur GitHub pour afficher les notifications des demandes de tirage créées par Dependabot. Pour plus d’informations, consultez « Gestion des notifications à partir de votre boîte de réception ».