Remarque : Votre administrateur de site doit configurer les Dependabot updates pour votre instance GitHub Enterprise Server afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».
À propos des demandes de tirage Dependabot
Dependabot déclenche des demandes de tirage pour mettre à jour les dépendances. Selon la configuration de votre dépôt, Dependabot peut déclencher des demandes de tirage pour des mises à jour de version et/ou des mises à jour de sécurité. Vous gérez ces demandes de tirage comme toute demande de tirage, mais des commandes supplémentaires sont disponibles. Pour plus d’informations sur l’activation des mises à jour de dépendances Dependabot, consultez « Configuration des mises à jour de sécurité Dependabot » et « Configuration de mises à jour de version Dependabot ».
Quand Dependabot déclenche une demande de tirage, vous êtes averti par la méthode que vous avez choisie pour le dépôt. Chaque demande de tirage contient des informations détaillées sur la modification proposée, extraites du gestionnaire de package. Ces demandes de tirage suivent les vérifications et tests normaux définis dans votre dépôt.
Si vous avez de nombreuses dépendances à gérer, vous souhaiterez peut-être personnaliser la configuration de chaque gestionnaire de packages afin que les demandes de tirage aient des réviseurs, des destinataires et des étiquettes spécifiques. Pour plus d’informations, consultez « Personnalisation des mises à jour des dépendances ».
Affichage des demandes de tirage Dependabot
- Dans votre instance GitHub Enterprise Server, accédez à la page principale du dépôt. 1. Sous le nom de votre dépôt, cliquez sur Demandes de tirage.
- Toutes les demandes de tirage pour les mises à jour de sécurité ou de version sont faciles à identifier.
- L’auteur est dependabot, le compte de bot utilisé par Dependabot.
- Par défaut, elles ont l’étiquette
dependencies.
Modification de la stratégie de rebasage pour les demandes de tirage Dependabot
Par défaut, Dependabot rebase automatiquement les demandes de tirage pour résoudre les conflits. Si vous préférez gérer les conflits de fusion manuellement, vous pouvez désactiver cette configuration avec l’option rebase-strategy. Pour plus d’informations, consultez « Options de configuration pour le fichier dependabot.yml ».
Autorisation à Dependabot de procéder au rebasage et forcer la poussée sur des commits supplémentaires
Par défaut, Dependabot arrête de procéder au rebasage d’une demande de tirage une fois que des commits supplémentaires ont été poussés vers celle-ci. Pour autoriser Dependabot à forcer la poussée sur des commits ajoutés à ses branches, incluez l’une des chaînes suivantes : [dependabot skip], [skip dependabot], [dependabot-skip] ou [skip-dependabot], en minuscules ou en majuscules, au message de commit.
Gestion des demandes de tirage Dependabot avec des commandes de commentaire
Dependabot répond à des commandes simples dans les commentaires. Chaque demande de tirage contient des détails sur les commandes que vous pouvez utiliser pour la traiter (par exemple : fusionner, condenser, rouvrir, fermer ou rebaser la demande de tirage) sous la section « Commandes et options Dependabot ». L’objectif est de faciliter le tri de ces demandes de tirage automatiquement générées.
Vous pouvez utiliser l’une des commandes suivantes sur une demande de tirage Dependabot.
@dependabot cancel mergeannule une fusion demandée.@dependabot closeferme la demande de tirage et empêche Dependabot de la recréer. Vous pouvez obtenir le même résultat en fermant la demande de tirage manuellement.@dependabot ignore this dependencyferme la demande de tirage et empêche Dependabot de créer davantage de demandes de tirage pour cette dépendance (sauf si vous rouvrez la demande de tirage ou effectuez vous-même une mise à niveau vers la version suggérée de la dépendance).@dependabot ignore this major versionferme la demande de tirage et empêche Dependabot de créer davantage de demandes de tirage pour cette version principale (sauf si vous rouvrez la demande de tirage ou effectuez vous-même une mise à niveau vers cette version principale).@dependabot ignore this minor versionferme la demande de tirage et empêche Dependabot de créer davantage de demandes de tirage pour cette version mineure (sauf si vous rouvrez la demande de tirage ou effectuez vous-même une mise à niveau vers cette version mineure).@dependabot mergefusionne la demande de tirage une fois que vos tests CI ont réussi.@dependabot rebaserebase la demande de tirage.@dependabot recreaterecrée la demande de tirage, en écrasant toutes les modifications qui y ont été apportées.@dependabot reopenrouvre la demande de tirage si elle est fermée.@dependabot squash and mergecondense et fusionne la demande de tirage une fois que vos tests CI ont réussi.
Dependabot réagit avec un emoji « pouce vers le haut » pour reconnaître la commande et peut répondre avec un commentaire sur la demande de tirage. Même si Dependabot répond généralement rapidement, l’exécution de certaines commandes peut prendre plusieurs minutes si Dependabot est occupé à traiter d’autres mises à jour ou commandes.
Si vous exécutez l’une des commandes permettant d’ignorer les dépendances ou les versions, Dependabot stocke les préférences du dépôt de façon centralisée. Même s’il s’agit d’une solution rapide, pour les dépôts avec plusieurs contributeurs, il est préférable de définir explicitement les dépendances et les versions à ignorer dans le fichier de configuration. Ainsi, tous les contributeurs peuvent facilement voir pourquoi une dépendance particulière n’est pas automatiquement mise à jour. Pour plus d’informations, consultez « Options de configuration pour le fichier dependabot.yml ».