Skip to main content

Gerenciar pull requests para atualizações de dependências

Você gerencia pull requests criadas por Dependabot da mesma forma que outras pull requests, mas existem algumas opções extras.

Note: Your site administrator must set up Atualizações de Dependabot for your GitHub Enterprise Server instance before you can use this feature. Para obter mais informações, consulte "Habilitar Dependabot para a sua empresa."

Sobre pull requests Dependabot

O Dependabot gera pull requests para atualizar dependências. Dependendo de como seu repositório está configurado, o Dependabot pode gerar pull requests para atualizações de versão e/ou para atualizações de segurança. Você gerencia essas pull requests da mesma forma que qualquer outra pull request, mas também existem alguns comandos extras disponíveis. For information about enabling Dependabot dependency updates, see "Configuring Atualizações de segurança do Dependabot" and "Enabling and disabling Dependabot version updates."

Quando o Dependabot cria uma pull request, você é notificado pelo método escolhido para o repositório. Cada pull request contém informações detalhadas sobre a mudança proposta, retirada do gerenciador de pacotes. Essas pull requests seguem as verificações e testes normais definidas no seu repositório.

Se você tem muitas dependências para gerenciar, você pode querer personalizar a configuração para cada gerenciador de pacotes para que as pull requests tenham revisores, responsáveis e etiquetas específicos. Para obter mais informações, consulte "Personalizar atualizações de dependência".

Visualizando pull requests Dependabot

  1. No your GitHub Enterprise Server instance, navegue até a página principal do repositório.
  2. Abaixo do nome do seu repositório, clique em Pull requests. Pull request tab selection
  3. Todos os pull requests de atualização de segurança ou versão são fáceis de identificar.
    • O autor é dependabot, e a conta do bot é usada por Dependabot.
    • Por padrão, eles têm as etiquetas das dependências.

Alterando a estratégia de rebase para pull requests Dependabot

Por padrão, o Dependabot faz o rebasamento automaticamente das pull requests para resolver quaisquer conflitos. Se você preferir lidar com conflitos de merge manualmente, pode desativar isso usando a opção rebase-strategy. Para obter detalhes, consulte "Opções de configuração para o arquivo dependabot.yml. ".

Permitir que Dependabot faça o rebase e faça push forçado por meio de commits extras

Por padrão, Dependabot parará de fazer rebase de um pull request uma vez que commits extras tenham sido enviados por push para ele. Para permitir Dependabot que faça push forçado por meio de de commits adicionados a seus branches, inclua qualquer uma das seguintes strings: [dependabot skip] , [skip dependabot], [dependabot-skip] ou [skip-dependabot], em letra maiúscula ou minúscula, para a mensagem do commit.

Gerenciando pull requests Dependabot com comandos de comentário

O Dependabot responde a comandos simples nos comentários. Cada pull request contém detalhes dos comandos que você pode usar para processar o pull request (por exemplo: fazer merge, combinação por squash, abrir, fechar ou rebasear o pull request) na seção "comandos e opções de Dependabot". O objetivo é facilitar ao máximo a triagem dessas pull requests geradas automaticamente.

Você pode usar qualquer um dos seguintes comandos em um pull request de Dependabot.

  • @dependabot cancel merge cancela um merge solicitado anteriormente.
  • @dependabot close fecha o pull request e impede que Dependabot recrie esse pull request. Você pode obter o mesmo resultado fechando o pull request manualmente.
  • @dependabot ignore this dependency fecha o pull request e impede Dependabot de criar outros pull requests para essa dependência (a menos que você reabra o pull request ou atualize para a versão sugerida da própria dependência).
  • @dependabot ignore this major version fecha o pull request e impede Dependabot de criar mais pull requests para esta versão principal (a menos que você mesmo reabra o pull request ou atualize para esta versão principal).
  • @dependabot ignore this minor version fecha o pull request e impede Dependabot de criar mais pull requests para esta versão menor (a menos que você mesmo reabra o pull request ou atualize para esta versão menor).
  • @dependabot merge faz merge do pull request quando seus testes de CI passarem.
  • @dependabot rebase faz rebase do pull request.
  • @dependabot recria recria o pull request, substituindo todas as edições feitas no pull request.
  • @dependabot reopen reabre o pull request se o este estiver fechado.
  • @dependabot squash and merge faz combinação por squash e merge do pull request quando seus testes de CI passarem.

Dependabot reagirá com um emoji "positivo" para reconhecer o comando e pode responder com um comentário no pull request. Embora Dependabot normalmente responda rapidamente, alguns comandos podem levar vários minutos para serem concluídos se Dependabot estiver ocupado processando outras atualizações ou comandos.

Se você executar algum comando para ignorar dependências ou versões, o Dependabot armazena centralmente as preferências para o repositório. Embora esta seja uma solução rápida, para repositórios com mais de um colaborador é melhor definir explicitamente as dependências e versões para ignorar no arquivo de configuração. Isso facilita que todos os colaboradores vejam por que uma determinada dependência não está sendo atualizada automaticamente. Para obter mais informações, consulte "Opções de configuração para o arquivo dependabot.yml".