Gerenciar pull requests para atualizações de dependências

Você gerencia pull requests criadas por Dependabot da mesma forma que outras pull requests, mas existem algumas opções extras.

Sobre pull requests Dependabot

O Dependabot gera pull requests para atualizar dependências. Dependendo de como seu repositório está configurado, o Dependabot pode gerar pull requests para atualizações de versão e/ou para atualizações de segurança. Você gerencia essas pull requests da mesma forma que qualquer outra pull request, mas também existem alguns comandos extras disponíveis. Para obter mais informações sobre habilitar atualizações de dependência Dependabot, consulte "Configurando Atualizações de segurança do Dependabot" e "Habilitando e desabilitando atualizações de versão."

Quando o Dependabot cria uma pull request, você é notificado pelo método escolhido para o repositório. Cada pull request contém informações detalhadas sobre a mudança proposta, retirada do gerenciador de pacotes. Essas pull requests seguem as verificações e testes normais definidas no seu repositório. Além disso, onde informações suficientes estão disponíveis, você verá uma pontuação de compatibilidade. Isso também pode ajudá-lo a decidir se deve ou não mesclar a alteração. Para obter informações sobre essa pontuação, consulte "Sobre Atualizações de segurança do Dependabot."

Se você tem muitas dependências para gerenciar, você pode querer personalizar a configuração para cada gerenciador de pacotes para que as pull requests tenham revisores, responsáveis e etiquetas específicos. Para obter mais informações, consulte "Personalizar atualizações de dependência".

Visualizando pull requests Dependabot

  1. No GitHub, navegue até a página principal do repositório.
  2. Abaixo do nome do seu repositório, clique em Pull requests. Issues and pull requests tab selection
  3. Quaisquer pull requests de atualização de segurança e versão são fáceis de identificar.
    • O autor é dependabot, a conta de bot usada por Dependabot.
    • Por padrão, eles têm as etiquetas das dependências.

Alterando a estratégia de rebase para pull requests Dependabot

Por padrão, o Dependabot faz o rebasamento automaticamente das pull requests para resolver quaisquer conflitos. Se você preferir lidar com conflitos de merge manualmente, pode desativar isso usando a opção rebase-strategy. Para obter detalhes, consulte "Opções de configuração para atualizações de dependências".

Gerenciando pull requests Dependabot com comandos de comentário

O Dependabot responde a comandos simples nos comentários. Each pull request contains details of the commands you can use to process the pull request (for example: to merge, squash, reopen, close, or rebase the pull request) under the "Dependabot commands and options" section. O objetivo é facilitar ao máximo a triagem dessas pull requests geradas automaticamente.

You can use any of the following commands on a Dependabot pull request.

  • @dependabot cancel merge cancels a previously requested merge.
  • @dependabot close closes the pull request and prevents Dependabot from recreating that pull request. You can achieve the same result by closing the pull request manually.
  • @dependabot ignore this dependency closes the pull request and prevents Dependabot from creating any more pull requests for this dependency (unless you reopen the pull request or upgrade to the suggested version of the dependency yourself).
  • @dependabot ignore this major version closes the pull request and prevents Dependabot from creating any more pull requests for this major version (unless you reopen the pull request or upgrade to this major version yourself).
  • @dependabot ignore this minor version closes the pull request and prevents Dependabot from creating any more pull requests for this minor version (unless you reopen the pull request or upgrade to this minor version yourself).
  • @dependabot merge merges the pull request once your CI tests have passed.
  • @dependabot rebase rebases the pull request.
  • @dependabot recreate recreates the pull request, overwriting any edits that have been made to the pull request.
  • @dependabot reopen reopens the pull request if the pull request is closed.
  • @dependabot squash and merge squashes and merges the pull request once your CI tests have passed.

Dependabot will react with a "thumbs up" emoji to acknowledge the command, and may respond with a comment on the pull request. While Dependabot usually responds quickly, some commands may take several minutes to complete if Dependabot is busy processing other updates or commands.

Se você executar algum comando para ignorar dependências ou versões, o Dependabot armazena centralmente as preferências para o repositório. Embora esta seja uma solução rápida, para repositórios com mais de um colaborador é melhor definir explicitamente as dependências e versões para ignorar no arquivo de configuração. Isso facilita que todos os colaboradores vejam por que uma determinada dependência não está sendo atualizada automaticamente. Para obter mais informações, consulte "Opções de configuração para atualizações de dependências".

Esse documento ajudou você?Política de Privacidade

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.