Note: Dependabot security and version updates are currently in private beta and subject to change. Please contact your account management team for instructions on enabling Dependabot updates.
Note: Your site administrator must set up Atualizações de Dependabot for your GitHub Enterprise Server instance before you can use this feature. Para obter mais informações, consulte "Habilitar Dependabot para a sua empresa."
Sobre Atualizações de versão do Dependabot para ações
Ações são frequentemente atualizadas com correções de bugs e novos recursos para tornar os processos automatizados mais confiáveis, mais rápidos e mais seguros. Quando você habilitar Atualizações de versão do Dependabot para GitHub Actions, o Dependabot ajudará a garantir que referências a ações em um arquivo workflow.yml de um repositório são mantidas atualizadas. Para cada ação no arquivo, Dependabot verifica a referência da ação (tipicamente, um número de versão ou identificador de commit associado à ação) em relação à versão mais recente. Se uma versão mais recente da ação estiver disponível, o Dependabot enviará para você uma pull request que atualizará a referência no arquivo de fluxo de trabalho para a versão mais recente. Para obter mais informações sobre o Atualizações de versão do Dependabot, consulte "Sobre Atualizações de versão do Dependabot". Para obter mais informações sobre a configuração dos fluxos de trabalho para GitHub Actions, consulte "Aprender GitHub Actions".
Habilitando Atualizações de versão do Dependabot para ações
- Crie um arquivo de configuração dependabot.yml. Se você já habilitou o Atualizações de versão do Dependabot para outros ecossistemas ou gerenciadores de pacotes, basta abrir o arquivo existente dependabot.yml.
- Especifique
"github-actions"como umpackage-ecosystempara monitorar. - Defina o
directorycomo"/"para verificar os arquivos de fluxo de trabalho em.github/workflows. - Defina um
schedule.intervalpara especificar quantas vezes procurar por novas versões. - Confira o arquivo de configuração dependabot.yml no diretório e
.githubdo repositório. Se você tiver editado um arquivo existente, salve suas alterações.
Você também pode habilitar o Atualizações de versão do Dependabot em bifurcações. Para obter mais informações, consulte "Configurando as atualizações da versão de Dependabot".
Exemplo de arquivo dependabot.yml para GitHub Actions
O exemplo de arquivo dependabot.yml abaixo configura atualizações de versão para GitHub Actions. O directory deve ser definido como "/" para verificar os arquivos de fluxo de trabalho em .github/workflows. O schedule.interval está definido como "diariamente". Após este arquivo ter sido verificado ou atualizado, Dependabot verifica novas versões de suas ações. O Dependabot irá criar as pull request para atualizações da versão para quaisquer ações desatualizadas que ele encontre. Após as atualizações iniciais da versão, Dependabot continuará a verificar se há versões desatualizadas de ações uma vez por dia.
# Configurar calendário de atualização para GitHub Actions
version: 2
updates:
- package-ecosystem: "github-actions"
directory: "/"
schedule:
# Verificar atualizações do GitHub Actions todos os dias de semana
interval: "daily"
Configurando o Atualizações de versão do Dependabot para ações
Ao habilitar Atualizações de versão do Dependabot para ações, você deve especificar valores para package-ecosystem, directory e schedule.interval. Há muitas propriedades opcionais adicionais que você pode definir para personalizar ainda mais suas atualizações de versão. Para obter mais informações, consulte "Opções de configuração para o arquivo dependabot.yml".