Skip to main content

Maintenir vos actions à jour avec Dependabot

Vous pouvez utiliser Dependabot pour maintenir les actions que vous utilisez à jour dans les dernières versions.

Qui peut utiliser cette fonctionnalité ?

Users with write access

Remarque : Votre administrateur de site doit configurer les Dependabot updates pour votre instance GitHub Enterprise Server afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».

Vous ne pourrez peut-être pas activer ou désactiver les Dependabot updates si un propriétaire d’entreprise a défini une stratégie au niveau de l’entreprise. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».

À propos des Dependabot version updates pour les actions

Les actions sont souvent mises à jour avec des correctifs de bogues et de nouvelles fonctionnalités pour rendre les processus automatisés plus fiables, plus rapides et plus sûrs. Quand vous activez les Dependabot version updates pour GitHub Actions, Dependabot aide à garantir que les références aux actions dans le fichier workflow.yml d’un référentiel et les workflows réutilisables utilisés dans les workflows sont maintenus à jour.

Pour chaque action dans le fichier, Dependabot vérifie la référence de l’action (généralement un numéro de version ou un identificateur de commit associé à l’action) par rapport à la dernière version. Pour plus d’informations sur la version des créateurs d’actions, consultez « Utilisation de Release Management pour vos actions personnalisées ».

Si une version plus récente de l’action est disponible, Dependabot vous envoie une demande de tirage (pull request) qui met à jour la référence dans le fichier de workflow vers la dernière version. Pour plus d’informations sur Dependabot version updates, consultez « À propos des mises à jour de version Dependabot ». Pour plus d’informations sur la configuration des workflows pour GitHub Actions, consultez « Écriture de workflows ».

Dependabot vérifie également les fichiers de workflow pour les utilisations de workflows réutilisables et met à jour la référence git pour ces workflows réutilisables. Pour plus d’informations sur les workflows réutilisables, consultez « Réutilisation des workflows ».

Activation des Dependabot version updates pour les actions

Vous pouvez configurer les Dependabot version updates pour maintenir vos actions ainsi que les bibliothèques et packages dont vous dépendez.

  1. Si vous avez déjà activé les Dependabot version updates pour d’autres écosystèmes ou gestionnaires de packages, ouvrez simplement le fichier dependabot.yml existant. Sinon, créez un fichier de configuration dependabot.yml dans le répertoire .github de votre référentiel. Pour plus d’informations, consultez « Configuration de mises à jour de version Dependabot ».
  2. Spécifiez "github-actions" comme élément package-ecosystem à superviser.
  3. Définissez directory sur "/" pour rechercher les fichiers de workflow dans .github/workflows.
  4. Définissez un schedule.interval pour spécifier la fréquence à laquelle rechercher les nouvelles versions.
  5. Vérifiez le fichier de configuration dependabot.yml dans le répertoire .github du référentiel. Si vous avez modifié un fichier existant, enregistrez vos modifications.

Vous pouvez également activer les Dependabot version updates sur les duplications (fork). Pour plus d’informations, consultez « Configuration de mises à jour de version Dependabot ».

Exemple de fichier dependabot.yml pour GitHub Actions

L’exemple de fichier dependabot.yml ci-dessous configure les mises à jour de version pour GitHub Actions. directory doit être défini sur "/" pour rechercher les fichiers de workflow dans .github/workflows. La propriété schedule.interval a la valeur "weekly". Une fois ce fichier archivé ou mis à jour, Dependabot recherche les nouvelles versions de vos actions. Dependabot déclenche des demandes de tirage pour les mises à jour de version pour toutes les actions obsolètes qu’il trouve. Après les mises à jour de la version initiale, Dependabot continue à rechercher les versions obsolètes des actions une fois par semaine.

# Set update schedule for GitHub Actions

version: 2
updates:

  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      # Check for updates to GitHub Actions every week
      interval: "weekly"

Configuration des Dependabot version updates pour les actions

Quand vous activez les Dependabot version updates pour les actions, vous devez spécifier des valeurs pour package-ecosystem, directoryet schedule.interval. Il existe de nombreuses propriétés facultatives que vous pouvez définir pour personnaliser davantage vos mises à jour de version. Pour plus d’informations, consultez « Options de configuration pour le fichier dependabot.yml ».

Pour aller plus loin