Skip to main content

Esta versão do GitHub Enterprise será descontinuada em 2023-01-18. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, segurança aprimorada e novos recursos, atualize para a última versão do GitHub Enterprise. Para obter ajuda com a atualização, entre em contato com o suporte do GitHub Enterprise.

Gerenciar pull requests para atualizações de dependências

Você gerencia pull requests criadas por Dependabot da mesma forma que outras pull requests, mas existem algumas opções extras.

Note: Dependabot security and version updates are currently in private beta and subject to change. Please contact your account management team for instructions on enabling Dependabot updates.

Observação: o administrador do site precisa configurar as Dependabot updates do your GitHub Enterprise Server instance para que você possa usar esse recurso. Para obter mais informações, confira "Como habilitar o Dependabot para sua empresa".

Sobre pull requests Dependabot

O Dependabot gera pull requests para atualizar dependências. Dependendo de como o repositório está configurado, o Dependabot poderá gerar solicitações de pull para atualizações de versão e/ou para atualizações de segurança. Você gerencia essas pull requests da mesma forma que qualquer outra pull request, mas também existem alguns comandos extras disponíveis. Para obter informações sobre como habilitar as atualizações de dependência do Dependabot, confira "Como configurar as Dependabot security updates" e "Como habilitar e desabilitar atualizações de versão do Dependabot".

Quando o Dependabot cria uma pull request, você é notificado pelo método escolhido para o repositório. Cada pull request contém informações detalhadas sobre a mudança proposta, retirada do gerenciador de pacotes. Essas pull requests seguem as verificações e testes normais definidas no seu repositório.

Se você tem muitas dependências para gerenciar, você pode querer personalizar a configuração para cada gerenciador de pacotes para que as pull requests tenham revisores, responsáveis e etiquetas específicos. Para obter mais informações, confira "Como personalizar as atualizações de dependência".

Visualizando pull requests Dependabot

  1. On your GitHub Enterprise Server instance, navigate to the main page of the repository. 1. Abaixo do nome do repositório, clique em Solicitações de pull. Seleção da guia Solicitações de pull
  2. Todos os pull requests de atualização de segurança ou versão são fáceis de identificar.
    • O autor é dependabot, a conta de bot usada pelo Dependabot.
    • Por padrão, elas têm o rótulo dependencies.

Alterando a estratégia de rebase para pull requests Dependabot

Por padrão, o Dependabot faz o rebasamento automaticamente das pull requests para resolver quaisquer conflitos. Se você preferir lidar com os conflitos de mesclagem manualmente, desabilite isso usando a opção rebase-strategy. Para obter detalhes, confira "Opções de configuração para o arquivo dependabot.yml".

Ao permitir que o Dependabot troque de base e imponha o envio por push sem vez de obre confirmações adicionais

Por padrão, o Dependabot interromperá a troca de base de uma solicitação de pull assim que as confirmações adicionais forem enviadas por push para ele. Para permitir que o Dependabot imponha o envio por push em vez da adição de conformações às ramificações, inclua qualquer uma das seguintes cadeias de caracteres: [dependabot skip], [skip dependabot], [dependabot-skip] ou [skip-dependabot], minúsculas ou maiúsculas, na a mensagem de confirmação.

Gerenciando pull requests Dependabot com comandos de comentário

O Dependabot responde a comandos simples nos comentários. Cada pull request contém detalhes dos comandos que você pode usar para processar o pull request (por exemplo: fazer merge, combinação por squash, abrir, fechar ou rebasear o pull request) na seção "comandos e opções de Dependabot". O objetivo é facilitar ao máximo a triagem dessas pull requests geradas automaticamente.

Você pode usar qualquer um dos seguintes comandos em um pull request de Dependabot.

  • @dependabot cancel merge cancela uma mesclagem já solicitada.
  • @dependabot close fecha a solicitação de pull e impede que o Dependabot recrie essa solicitação de pull. Você pode obter o mesmo resultado fechando o pull request manualmente.
  • @dependabot ignore this dependency fecha a solicitação de pull e impede que o Dependabot crie mais solicitações de pull para essa dependência (a menos que você reabra a solicitação de pull ou faça upgrade para a versão sugerida da dependência por conta própria).
  • @dependabot ignore this major version fecha a solicitação de pull e impede que o Dependabot crie mais solicitações de pull para essa versão principal (a menos que você reabra a solicitação de pull ou faça upgrade para essa versão principal por conta própria).
  • @dependabot ignore this minor version fecha a solicitação de pull e impede que o Dependabot crie mais solicitações de pull para essa versão secundária (a menos que você reabra a solicitação de pull ou faça upgrade para essa versão secundária por conta própria).
  • @dependabot merge mescla a solicitação de pull depois que os testes de CI são aprovados.
  • @dependabot rebase troca a base da solicitação de pull.
  • @dependabot recreate recria a solicitação de pull, substituindo todas as edições feitas na solicitação de pull.
  • @dependabot reopen reabre a solicitação de pull se ela está fechada.
  • @dependabot squash and merge faz uma mesclagem squash e mescla a solicitação de pull depois que os testes de CI são aprovados.

Dependabot reagirá com um emoji "positivo" para reconhecer o comando e pode responder com um comentário no pull request. Embora Dependabot normalmente responda rapidamente, alguns comandos podem levar vários minutos para serem concluídos se Dependabot estiver ocupado processando outras atualizações ou comandos.

Se você executar algum comando para ignorar dependências ou versões, o Dependabot armazena centralmente as preferências para o repositório. Embora esta seja uma solução rápida, para repositórios com mais de um colaborador é melhor definir explicitamente as dependências e versões para ignorar no arquivo de configuração. Isso facilita que todos os colaboradores vejam por que uma determinada dependência não está sendo atualizada automaticamente. Para obter mais informações, confira "Opções de configuração para o arquivo dependabot.yml".