Maintenir vos actions à jour avec Dependabot

Vous pouvez utiliser Dependabot pour maintenir les actions que vous utilisez à jour dans les dernières versions.

Dans cet article

À propos des Dependabot version updates pour les actions

Les actions sont souvent mises à jour avec des correctifs de bogues et de nouvelles fonctionnalités pour rendre les processus automatisés plus fiables, plus rapides et plus sûrs. Quand vous activez les Dependabot version updates pour GitHub Actions, Dependabot permet de garantir que les références aux actions dans le fichier workflow.yml d’un dépôt et les workflows réutilisables utilisés dans des workflows sont maintenues à jour.

Pour chaque action dans le fichier, Dependabot vérifie la référence de l’action (généralement un numéro de version ou un identificateur de commit associé à l’action) par rapport à la dernière version. Pour plus d’informations sur la version des créateurs d’actions, consultez « Utilisation de Release Management pour vos actions personnalisées ».

Si une version plus récente de l’action est disponible, Dependabot vous envoie une demande de tirage (pull request) qui met à jour la référence dans le fichier de workflow vers la dernière version. Pour plus d’informations sur Dependabot version updates, consultez « À propos des mises à jour de version Dependabot ». Pour plus d’informations sur la configuration des workflows pour GitHub Actions, consultez « Découvrir GitHub Actions ».

Dependabot vérifie également les fichiers de workflow pour les utilisations de workflows réutilisables et met à jour la référence git pour ces workflows réutilisables. Pour plus d’informations sur les workflows réutilisables, consultez « Réutilisation des workflows ».

Remarque : Les exécutions de workflow déclenchées par les demandes de tirage de Dependabot s’exécutent comme si elles provenaient d’un référentiel dupliqué et utilisent donc un GITHUB_TOKEN en lecture seule. Ces exécutions de workflow ne peuvent pas accéder à des secrets. Pour plus d’informations sur les stratégies de sécurisation de ces workflows, consultez « Durcissement de la sécurité pour GitHub Actions ».

Activation des Dependabot version updates pour les actions

Vous pouvez configurer les Dependabot version updates pour maintenir vos actions ainsi que les bibliothèques et packages dont vous dépendez.

  1. Si vous avez déjà activé les Dependabot version updates pour d’autres écosystèmes ou gestionnaires de packages, ouvrez simplement le fichier dependabot.yml existant. Sinon, créez un fichier de configuration dependabot.yml dans le répertoire .github de votre référentiel. Pour plus d’informations, consultez « Configuration de mises à jour de version Dependabot ».
  2. Spécifiez "github-actions" comme élément package-ecosystem à superviser.
  3. Définissez directory sur "/" pour rechercher les fichiers de workflow dans .github/workflows.
  4. Définissez un schedule.interval pour spécifier la fréquence à laquelle rechercher les nouvelles versions.
  5. Vérifiez le fichier de configuration dependabot.yml dans le répertoire .github du référentiel. Si vous avez modifié un fichier existant, enregistrez vos modifications.

Vous pouvez également activer les Dependabot version updates sur les duplications (fork). Pour plus d’informations, consultez « Configuration de mises à jour de version Dependabot ».

Exemple de fichier dependabot.yml pour GitHub Actions

L’exemple de fichier dependabot.yml ci-dessous configure les mises à jour de version pour GitHub Actions. directory doit être défini sur "/" pour rechercher les fichiers de workflow dans .github/workflows. La propriété schedule.interval a la valeur "weekly". Une fois ce fichier archivé ou mis à jour, Dependabot recherche les nouvelles versions de vos actions. Dependabot déclenche des demandes de tirage pour les mises à jour de version pour toutes les actions obsolètes qu’il trouve. Après les mises à jour de la version initiale, Dependabot continue à rechercher les versions obsolètes des actions une fois par semaine.

# Set update schedule for GitHub Actions

version: 2
updates:

  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      # Check for updates to GitHub Actions every week
      interval: "weekly"

Configuration des Dependabot version updates pour les actions

Quand vous activez les Dependabot version updates pour les actions, vous devez spécifier des valeurs pour package-ecosystem, directoryet schedule.interval. Il existe de nombreuses propriétés facultatives que vous pouvez définir pour personnaliser davantage vos mises à jour de version. Pour plus d’informations, consultez « Options de configuration pour le fichier dependabot.yml ».

Pour aller plus loin