Configuring Dependabot security updates

Managing Dependabot security updates for your repositories

You can enable or disable Dependabot security updates for all qualifying repositories owned by your personal account or organization. For more information, see Gerenciando recursos de segurança e análise or Gerenciando as configurações de segurança e de análise da sua organização.

You can also enable or disable Dependabot security updates for an individual repository.

Enabling or disabling Dependabot security updates for an individual repository

1. Em GitHub, acesse a página principal do repositório.

2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

   

3. Na seção "Security" da barra lateral, clique em Advanced Security.

4. To the right of "Dependabot security updates," click Enable to enable the feature or Disable to disable it.

Grouping Dependabot security updates into a single pull request

In order to use grouped security updates, you must first enable the following features:

• Dependency graph. For more information, see Enabling the dependency graph.
• Dependabot alerts. For more information, see Configuring Dependabot alerts.
• Dependabot security updates. For more information, see Configuring Dependabot security updates.

Você pode habilitar solicitações de pull agrupadas para Dependabot security updates de uma ou ambas as seguintes maneiras.

• Para agrupar o máximo possível de atualizações de segurança disponíveis, entre diretórios e por ecossistema, habilite o agrupamento nas configurações "Advanced Security" do repositório ou em "Configurações globais" Advanced Security em sua organização.
• Para obter um controle mais granular do agrupamento, como agrupamento por nome de pacote, dependências de desenvolvimento, nível do SemVer ou entre vários diretórios por ecossistema, adicione opções de configuração ao arquivo de configuração dependabot.yml em seu repositório.

Enabling or disabling grouped Dependabot security updates for an individual repository

1. Em GitHub, acesse a página principal do repositório.

2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

   

3. Na seção "Security" da barra lateral, clique em Advanced Security.

4. Under "Dependabot," to the right of "Grouped security updates," click Enable to enable the feature or Disable to disable it.

Enabling or disabling grouped Dependabot security updates for an organization

You can enable grouped Dependabot security updates into a single pull request. For more information, see Configuring global security settings for your organization.

Overriding the default behavior with a configuration file

You can override the default behavior of Dependabot security updates by adding a dependabot.yml file to your repository. With a dependabot.yml file, you can have more granular control of grouping, and override the default behavior of Dependabot security updates settings.

Use the groups option with the applies-to: security-updates key to create sets of dependencies (per package manager), so that Dependabot opens a single pull request to update multiple dependencies at the same time. You can define groups by package name (the patterns and exclude-patterns keys), dependency type (dependency-type key), and SemVer (the update-types key).

Dependabot cria grupos na ordem em que aparecem no arquivo dependabot.yml. Se uma atualização de dependência puder pertencer a mais de um grupo, ela será atribuída apenas ao primeiro grupo com o qual corresponder.

If you only require security updates and want to exclude version updates, you can set open-pull-requests-limit to 0 in order to prevent version updates for a given package-ecosystem.

For more information about the configuration options available for security updates, see Personalizar pull requests para atualizações de segurança do Dependabot.

# Example configuration file that:
#  - Has a private registry
#  - Ignores lodash dependency
#  - Disables version-updates
#  - Defines a group by package name, for security updates for golang dependencies

version: 2
registries:
  example:
    type: npm-registry
    url: https://example.com
    token: ${{secrets.NPM_TOKEN}}
updates:
  - package-ecosystem: "npm"
    directory: "/src/npm-project"
    schedule:
      interval: "daily"
    # For Lodash, ignore all updates
    ignore:
      - dependency-name: "lodash"
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0
    registries:
      - example
  - package-ecosystem: "gomod"
    directories:
      - "**/*"
    schedule:
      interval: "weekly"
    open-pull-requests-limit: 0
    groups:
      golang:
        applies-to: security-updates
        patterns:
          - "golang.org*"

# Example configuration file that:
#  - Has a private registry
#  - Ignores lodash dependency
#  - Disables version-updates
#  - Defines a group by package name, for security updates for golang dependencies

version: 2
registries:
  example:
    type: npm-registry
    url: https://example.com
    token: ${{secrets.NPM_TOKEN}}
updates:
  - package-ecosystem: "npm"
    directory: "/src/npm-project"
    schedule:
      interval: "daily"
    # For Lodash, ignore all updates
    ignore:
      - dependency-name: "lodash"
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0
    registries:
      - example
  - package-ecosystem: "gomod"
    directories:
      - "**/*"
    schedule:
      interval: "weekly"
    open-pull-requests-limit: 0
    groups:
      golang:
        applies-to: security-updates
        patterns:
          - "golang.org*"

Further reading

• Dependabot alerts
• Configuring Dependabot alerts
• Ecossistemas de pacotes com suporte a gráficos de dependência