Atualizando de Dependabot.com para Dependabot nativo do GitHub

Você pode atualizar para o Dependabt nativo do GitHub, fazendo um merge de um pull request que permitirá que as suas dependências continuem sendo atualizadas.

A visualização do Dependabot foi desativada a partir de 3 de agosto de 2021. A fim de continuar recebendo atualizações do Dependabot, faça a migração para o Dependabot nativo do GitHub.

Os pull requests abertos a partir da visualização do Dependabot permanecerão abertos, incluindo o pull request para atualizar para Dependabot nativo do GitHub, mas o bot em si não funcionará mais nas suas contas e nas organizações do GitHub.

Sobre a atualização de Dependabot Preview para um nativo de GitHub Dependabot

A visualização do Dependabot foi construída diretamente em GitHub. Portanto, você poderá usar Dependabot junto com todas as outras funcionalidades em GitHub sem ter que instalar e usar um aplicativo separado. Ao fazer a migração para um nativo de GitHub Dependabot, também podemos focar em trazer muitas novas funcionalidades empolgantes para Dependabot, incluindo mais atualizações do ecossistema, notificações melhoradas e suporte Dependabot para GitHub Enterprise Server e GitHub AE.

Diferenças entre o Dependabot Preview e nativo de GitHub Dependabot

Embora a maior parte das funcionalidades do Dependabot Preview existam no nativo de GitHub Dependabot, algumas permanecem indisponíveis:

  • Atualizações ao vivo: Esperamos trazê-las de volta no futuro. Por enquanto, você pode executar GitHub Dependabot diariamente para pegar novos pacotes dentro de um dia de versão.
  • Registros de variáveis de ambiente PHP: Para projetos que dependem da variável de ambiente ACF_PRO_KEY, você poderá fornecer sua cópia licenciada do plugin Campos Personalizados Avançados. Por exemplo, consulte dependabot/acf-php-example. Para outras variáveis de ambiente, você pode usar GitHub Actions para buscar dependências desses registros.
  • Auto-merge: Sempre recomendamos verificar suas dependências antes de mesclá-las. Portanto, a fusão automática não será compatível em um futuro próximo. Para aqueles de vocês que avaliaram as suas dependências ou estiverem usando apenas dependências internas, recomendamos adicionar aplicativos de auto-merge de terceiros ou configurar o GitHub Actions para fazer o merge. Fornecemos a ação dependabo/buscar metadados para ajudar os desenvolvedores a habilitar o merge automático do GitHub.

Em nativo de GitHub Dependabot, você pode configurar todas as atualizações da versão usando o arquivo de configuração. Este arquivo é semelhante ao arquivo de configuração do Dependabot Preview com algumas alterações e melhorias que serão incluídas automaticamente no seu pull request de atualização. Para obter mais informações sobre o pull request de atualização, consulte "Atualizando para o Dependabot nativo do GitHub".

Para visualizar os registros de atualização para nativo de GitHub Dependabot que estavam anteriormente no painel do Dependabot.com:

  1. Acesse a página Insights do seu repositório.
  2. Clique em Gráfico de dependência à esquerda.
  3. Clique em Dependabot.

Para obter mais informações sobre as atualizações de versão com nativo de GitHub Dependabot, consulte "Sobre atualizações da versão do Dependabot."

Atualizando para nativo de GitHub Dependabot

A atualização de Dependabot Preview para GitHub-native Dependabot exige a fusão do Atualize para um Dependabot nativo do GitHub no seu repositório. Este pull request inclui o arquivo de configuração atualizado necessário para nativo de GitHub Dependabot.

Se você estiver usando repositórios privados, você terá que conceder acesso a Dependabot a esses repositórios nas configurações de segurança e análise da sua organização. Para obter mais informações, consulte "permitir que o Dependabot acesse dependências privadas". Anteriormente, o Dependabot tinha acesso a todos os repositórios de uma organização, mas implementamos esta alteração, porque é muito mais seguro utilizar o princípio do menor privilégio de Dependabot.

Se você estiver usando registros privados, será necessário adicionar seus segredos de Dependabot Preview aos "Segredos de Dependabot" do seu repositório ou da organização. Para obter mais informações, consulte "Gerenciar segredos criptografados para o Dependabot. ".

Se você tiver alguma dúvidas ou precisar de ajuda para migrar, você poderá visualizar ou abrir problemas no repositório dependabot/dependabot-core.

Esse documento ajudou você?

Política de Privacidade

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.