Sobre Dependabot version updates para ações
Ações são frequentemente atualizadas com correções de bugs e novos recursos para tornar os processos automatizados mais confiáveis, mais rápidos e mais seguros. Quando você habilitar as Dependabot version updates para GitHub Actions, o Dependabot ajudará a garantir que as referências às ações no arquivo workflow.yml de um repositório e os fluxos de trabalho reutilizáveis usados dentro de fluxos de trabalho sejam mantidos atualizados.
Para cada ação no arquivo, o Dependabot verifica a referência da ação (tipicamente, um número de versão ou um identificador de commit associado à ação) em relação à última versão. Para obter informações sobre como os criadores de ações criam versões para suas ações, consulte "Usando o gerenciamento de versões para suas ações personalizadas".
Se uma última versão da ação estiver disponível, o Dependabot enviará para você uma solicitação de pull que atualizará a referência no arquivo de fluxo de trabalho para a última versão. Para saber mais sobre Dependabot version updates, confira "Sobre as atualizações da versão do Dependabot". Para obter mais informações sobre a configuração de fluxos de trabalho para GitHub Actions, confira "Escrevendo fluxos de trabalho".
O Dependabot também verifica os arquivos de fluxo de trabalho quanto a usos de fluxos de trabalho reutilizáveis e atualiza a referência git para estes fluxos de trabalho reutilizáveis chamados. Para obter mais informações sobre os fluxos de trabalho reutilizáveis, confira "Reutilizar fluxos de trabalho".
Note
As execuções de fluxo de trabalho disparadas pelas solicitações de pull do Dependabot são executadas como se fossem de um repositório com fork e, portanto, usam um GITHUB_TOKEN
somente leitura. Estas execuções de fluxo de trabalho não podem acessar nenhum segredo. Para obter mais informações sobre as estratégias para manter esses fluxos de trabalho seguros, confira "Fortalecimento de segurança para o GitHub Actions."
Habilitando Dependabot version updates para ações
Você pode configurar Dependabot version updates para manter suas ações, bem como as bibliotecas e os pacotes de dependência.
- Se você já habilitou as Dependabot version updates para outros ecossistemas ou gerenciadores de pacotes, basta abrir o arquivo
dependabot.yml
existente. Caso contrário, crie um arquivo de configuraçãodependabot.yml
no diretório.github
do repositório. Para obter mais informações, confira "Configurando a versão das atualizações do Dependabot". - Especifique
"github-actions"
como umpackage-ecosystem
para monitorá-lo. - Defina o
directory
como"/"
para verificar se há arquivos de fluxo de trabalho em.github/workflows
. - Defina um
schedule.interval
para especificar a frequência com que será feita a verificação em busca de novas versões. - Verifique o arquivo de configuração dependabot.yml no diretório
.github
do repositório. Se você tiver editado um arquivo existente, salve suas alterações.
Você também pode habilitar o Dependabot version updates em bifurcações. Para obter mais informações, confira "Configurando a versão das atualizações do Dependabot".
Exemplo de arquivo dependabot.yml
do GitHub Actions
O exemplo de arquivo dependabot.yml
abaixo configura as atualizações de versão do GitHub Actions. O directory
precisa ser definido como "/"
para verificar se há arquivos de fluxo de trabalho em .github/workflows
. O schedule.interval
é definido como "weekly"
. Após este arquivo ter sido verificado ou atualizado, Dependabot verifica novas versões de suas ações. O Dependabot acionará as solicitação de pull para as atualizações da versão de todas as ações desatualizadas encontradas. Após as atualizações iniciais da versão, o Dependabot continuará verificando se há versões desatualizadas das ações uma vez por dia.
# Set update schedule for GitHub Actions
version: 2
updates:
- package-ecosystem: "github-actions"
directory: "/"
schedule:
# Check for updates to GitHub Actions every week
interval: "weekly"
Configurando o Dependabot version updates para ações
Ao habilitar as Dependabot version updates para as ações, você precisa especificar valores para package-ecosystem
, directory
e schedule.interval
. Há muitas propriedades opcionais adicionais que você pode definir para personalizar ainda mais suas atualizações de versão. Para obter mais informações, confira "Opções de configuração para o arquivo dependabot.yml".