Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.

Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances

Vous gérez les demandes de tirage déclenchées par Dependabot de la même façon que d’autres demandes de tirage, mais il existe des options supplémentaires.

Remarque : Votre administrateur de site doit configurer les Dependabot updates pour your GitHub Enterprise Server instance afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».

À propos des demandes de tirage Dependabot

Dependabot déclenche des demandes de tirage pour mettre à jour les dépendances. Selon la configuration de votre dépôt, Dependabot peut déclencher des demandes de tirage pour des mises à jour de version et/ou des mises à jour de sécurité. Vous gérez ces demandes de tirage comme toute demande de tirage, mais des commandes supplémentaires sont disponibles. Pour plus d’informations sur l’activation de mises à jour de dépendances Dependabot, consultez « Configuriation de Dependabot security updates » et « Activation et désactivation des mises à jour de version de Dependabot. »

Quand Dependabot déclenche une demande de tirage, vous êtes averti par la méthode que vous avez choisie pour le dépôt. Chaque demande de tirage contient des informations détaillées sur la modification proposée, extraites du gestionnaire de package. Ces demandes de tirage suivent les vérifications et tests normaux définis dans votre dépôt.

Si vous avez de nombreuses dépendances à gérer, vous souhaiterez peut-être personnaliser la configuration de chaque gestionnaire de packages afin que les demandes de tirage aient des réviseurs, des destinataires et des étiquettes spécifiques. Pour plus d’informations, consultez « Personnalisation des mises à jour des dépendances ».

Affichage des demandes de tirage Dependabot

  1. Dans your GitHub Enterprise Server instance, accédez à la page principale du dépôt. 1. Sous le nom de votre dépôt, cliquez sur Demandes de tirage. Sélection de l’onglet Demande de tirage
  2. Toutes les demandes de tirage pour les mises à jour de sécurité ou de version sont faciles à identifier.
    • L’auteur est dependabot, le compte de bot utilisé par Dependabot.
    • Par défaut, elles ont l’étiquette dependencies.

Modification de la stratégie de rebasage pour les demandes de tirage Dependabot

Par défaut, Dependabot rebase automatiquement les demandes de tirage pour résoudre les conflits. Si vous préférez gérer les conflits de fusion manuellement, vous pouvez désactiver cette configuration avec l’option rebase-strategy. Pour plus d’informations, consultez « Options de configuration pour le fichier dependabot.yml ».

Autorisation à Dependabot de procéder au rebasage et forcer la poussée sur des commits supplémentaires

Par défaut, Dependabot arrête de procéder au rebasage d’une demande de tirage une fois que des commits supplémentaires ont été poussés vers celle-ci. Pour autoriser Dependabot à forcer la poussée sur des commits ajoutés à ses branches, incluez l’une des chaînes suivantes : [dependabot skip], [skip dependabot], [dependabot-skip] ou [skip-dependabot], en minuscules ou en majuscules, au message de commit.

Gestion des demandes de tirage Dependabot avec des commandes de commentaire

Dependabot répond à des commandes simples dans les commentaires. Chaque demande de tirage contient des détails sur les commandes que vous pouvez utiliser pour la traiter (par exemple : fusionner, condenser, rouvrir, fermer ou rebaser la demande de tirage) sous la section « Commandes et options Dependabot ». L’objectif est de faciliter le tri de ces demandes de tirage automatiquement générées.

Vous pouvez utiliser l’une des commandes suivantes sur une demande de tirage Dependabot.

  • @dependabot cancel merge annule une fusion demandée.
  • @dependabot close ferme la demande de tirage et empêche Dependabot de la recréer. Vous pouvez obtenir le même résultat en fermant la demande de tirage manuellement.
  • @dependabot ignore this dependency ferme la demande de tirage et empêche Dependabot de créer davantage de demandes de tirage pour cette dépendance (sauf si vous rouvrez la demande de tirage ou effectuez vous-même une mise à niveau vers la version suggérée de la dépendance).
  • @dependabot ignore this major version ferme la demande de tirage et empêche Dependabot de créer davantage de demandes de tirage pour cette version principale (sauf si vous rouvrez la demande de tirage ou effectuez vous-même une mise à niveau vers cette version principale).
  • @dependabot ignore this minor version ferme la demande de tirage et empêche Dependabot de créer davantage de demandes de tirage pour cette version mineure (sauf si vous rouvrez la demande de tirage ou effectuez vous-même une mise à niveau vers cette version mineure).
  • @dependabot merge fusionne la demande de tirage une fois que vos tests CI ont réussi.
  • @dependabot rebase rebase la demande de tirage.
  • @dependabot recreate recrée la demande de tirage, en écrasant toutes les modifications qui y ont été apportées.
  • @dependabot reopen rouvre la demande de tirage si elle est fermée.
  • @dependabot squash and merge condense et fusionne la demande de tirage une fois que vos tests CI ont réussi.

Dependabot réagit avec un emoji « pouce vers le haut » pour reconnaître la commande et peut répondre avec un commentaire sur la demande de tirage. Même si Dependabot répond généralement rapidement, l’exécution de certaines commandes peut prendre plusieurs minutes si Dependabot est occupé à traiter d’autres mises à jour ou commandes.

Si vous exécutez l’une des commandes permettant d’ignorer les dépendances ou les versions, Dependabot stocke les préférences du dépôt de façon centralisée. Même s’il s’agit d’une solution rapide, pour les dépôts avec plusieurs contributeurs, il est préférable de définir explicitement les dépendances et les versions à ignorer dans le fichier de configuration. Ainsi, tous les contributeurs peuvent facilement voir pourquoi une dépendance particulière n’est pas automatiquement mise à jour. Pour plus d’informations, consultez « Options de configuration pour le fichier dependabot.yml ».