Observação: o administrador do site precisa configurar as Dependabot updates do sua instância do GitHub Enterprise Server para que você possa usar esse recurso. Para obter mais informações, confira "Habilitando o Dependabot para sua empresa".
Sobre as Dependabot version updates
O Dependabot facilita a manutenção de suas dependências. Você pode usá-lo para garantir que seu repositório se mantenha atualizado automaticamente com as versões mais recentes dos pacotes e aplicações do qual ele depende.
Habilite as Dependabot version updates fazendo o check-in de um arquivo de configuração dependabot.yml em seu repositório. O arquivo de configuração especifica a localização do manifesto ou de outros arquivos de definição de pacote, armazenados no seu repositório. O Dependabot usa essas informações para verificar se há pacotes e aplicativos desatualizados. O Dependabot determina se há uma nova versão de uma dependência examinando o semver (controle de versão semântica) da dependência para decidir se ela deve ser atualizada para essa versão. Para certos gerentes de pacote, Dependabot version updates também é compatível com armazenamento. Dependências de vendor (ou armazenadas) são dependências registradas em um diretório específico em um repositório, em vez de referenciadas em um manifesto. Dependências de vendor estão disponíveis no tempo de criação, ainda que os servidores de pacote estejam indisponíveis. Dependabot version updates pode ser configurado para verificar as dependências de vendor para novas versões e atualizá-las, se necessário.
Quando o Dependabot identifica uma dependência desatualizada, ele gera uma solicitação de pull para atualizar o manifesto para a última versão da dependência. Para dependências de vendor, Dependabot levanta um pull request para substituir diretamente a dependência desatualizada pela nova versão. Você verifica se os seus testes passam, revisa o changelog e lança observações incluídas no resumo do pull request e, em seguida, faz a mesclagem. Para obter mais informações, confira "Configurando a versão das atualizações do Dependabot".
Se você habilitar as atualizações de segurança, o Dependabot também vai gerar solicitações de pull para atualizar as dependências vulneráveis. Para obter mais informações, confira "Sobre as atualizações de segurança do Dependabot".
Quando o Dependabot gera solicitações de pull, essas solicitações de pull podem ser referentes a atualizações de segurança ou de versão:
- As Dependabot security updates são solicitações de pull automatizadas que ajudam você a atualizar as dependências com vulnerabilidades conhecidas.
- As Dependabot version updates são solicitações de pull automatizadas que mantêm suas dependências atualizadas, mesmo quando elas não têm nenhuma vulnerabilidade. Para verificar o status das atualizações da versão, acesse a aba Insights do seu repositório e, em seguida, gráfico de dependência e Dependabot.
O GitHub Actions não necessário para que Dependabot version updates e Dependabot security updates sejam executadas no GitHub Enterprise Server. Antes de habilitar o Dependabot updates, configure a sua instância do GitHub Enterprise Server para usar o GitHub Actions com executores auto-hospedados. Para obter mais informações, confira "Habilitando o Dependabot para sua empresa."
Frequência de Dependabot pull requests
Você especifica com que frequência verifica cada ecossistema para novas versões no arquivo de configuração: diariamente, semanalmente ou mensalmente.
Quando você habilitar atualizações de versão pela primeira vez, você pode ter muitas dependências que estão desatualizadas e algumas podem ser muitas versões por trás da versão mais recente. O Dependabot verifica as dependências desatualizadas assim que estiver habilitado. Você pode ver novas pull requests para atualizações de versão dentro de alguns minutos após adicionar o arquivo de configuração, dependendo do número de arquivos de manifesto para os quais você configura as atualizações. Dependabot também será executada uma atualização sobre as alterações subsequentes no arquivo de configuração.
Dependabot também pode criar pull requests quando você alterar um arquivo de manifesto depois que uma atualização falhar. Isto ocorre porque alterações em um manifesto, como remover a dependência que causou falha na atualização, pode fazer com que a atualização recém-acionada sejam bem-sucedida.
Para manter as solicitações de pull gerenciáveis e fáceis de serem revisadas, o Dependabot gera, no máximo, cinco solicitações de pull para começar a trazer as dependências para a última versão. Se você fizer o merge de algumas desses primeiros pull requests antes da próxima atualização programada, Os pull requests restantes serão abertos na próxima atualização, até o máximo. Você pode alterar o número máximo de solicitações de pull em aberto definindo a opção de configuração open-pull-requests-limit.
Se tiver habilitado atualizações de segurança, às vezes você verá atualizações de segurança extras de pull requests. Elas são disparadas por um alerta do Dependabot para uma dependência no branch padrão. Dependabot gera automaticamente um pull request para atualizar a dependência vulnerável.
Repositórios e ecossistemas suportados
É possível configurar atualizações de versão para repositórios que contenham um manifesto de dependência ou arquivo de bloqueio para um dos gerentes de pacotes suportados. Para alguns gerenciadores de pacotes, você também pode configurar o armazenamento para dependências. Para obter mais informações, confira "Opções de configuração para o arquivo dependabot.yml".
Observação: para garantir que GitHub Enterprise Server dê suporte a Dependabot updates para as versões mais recentes do ecossistema com suporte, o proprietário da empresa deverá baixar a versão mais recente da ação do Dependabot. For more information about the action, and for instructions about how to download the most recent version, see "Usar a versão mais recente das ações agrupadas oficialmente."
Observação: Ao executar atualizações de segurança ou versão, alguns ecossistemas devem ser capazes de resolver todas as dependências de sua fonte para verificar se as atualizações foram bem-sucedidas. Se o seu manifesto ou arquivos de bloqueio contiverem dependências privadas, Dependabot deverá ser capaz de acessar o local em que essas dependências estão hospedadas. Os proprietários da organização podem conceder a Dependabot acesso a repositórios privados que contêm dependências para um projeto dentro da mesma organização. Para obter mais informações, confira "Gerenciando as configurações de segurança e de análise da sua organização". Você pode configurar o acesso a registros privados no arquivo de configuração dependabot.yml de um repositório. Para obter mais informações, confira "Opções de configuração para o arquivo dependabot.yml".
Dependabot não é compatível com as dependências privadas de GitHub para todos os gerenciadores de pacote. Veja os detalhes na tabela abaixo.
A tabela a seguir mostra, para cada gerenciador de pacotes:
- O valor YAML a ser usado no arquivo dependabot.yml
- As versões compatíveis do gerenciador de pacotes
- Se as dependências em repositórios ou registros de GitHub privados são compatíveis
- Se as dependências delegadas são compatíveis
| Gerenciador de pacotes | Valor do YAML | Versões com suporte | Repositórios privados | Registros privados | Delegação |
|---|---|---|---|---|---|
| bundler | bundler | v1, v2 | |||
| Cargo | cargo | v1 | (somente git) | ||
| Compositor | composer | v1, v2 | |||
| Docker | docker | v1 | Não aplicável | ||
| Hex | mix | v1 | |||
| elm-package | elm | v0.19 | |||
| git submodule | gitsubmodule | Não aplicável | Não aplicável | ||
| GitHub Actions | github-actions | Não aplicável | Não aplicável | ||
| Módulos Go | gomod | v1 | |||
| Gradle | gradle | Não aplicável | |||
| Maven | maven | Não aplicável | |||
| npm | npm | v6, v7, v8 | |||
| NuGet | nuget | <= 4.8 | |||
| pip | pip | v21.1.2 | |||
| pipenv | pip | <= 2021-05-29 | |||
| pip-compile | pip | 6.1.0 | |||
| poetry | pip | v1 | |||
| pub | pub | v2 | |||
| Terraform | terraform | >= 0.13, <= 1.3.x | Não aplicável | ||
| yarn | npm | v1 |
Dica: para gerenciadores de pacotes como pipenv e poetry, você precisa usar o valor pip do YAML. Por exemplo, se você usar poetry para gerenciar suas dependências do Python e quiser que o Dependabot monitore seu arquivo de manifesto de dependência em busca de novas versões, use package-ecosystem: "pip" no arquivo dependabot.yml.
Cargo
O suporte ao registro privado aplica-se a registros git e não inclui registros de carga.
GitHub Actions
O Dependabot dá suporte a atualizações do GitHub Actions apenas usando a sintaxe de repositório do GitHub, como actions/checkout@v3. Não há suporte atualmente para URLs do Docker Hub e de GitHub Packages Container registry.
Gradle
O Dependabot não executa o Gradle, mas dá suporte a atualizações nos seguintes arquivos:
build.gradle,build.gradle.kts(para projetos Kotlin)- Arquivos incluídos por meio da declaração
applyque tenhamdependenciesno nome do arquivo. Observe queapplynão dá suporte aapply to, recursão ou sintaxes avançadas (por exemplo,applydo Kotlin commapOfe nomes de arquivo definidos por propriedade).
Maven
O Dependabot não executa o Maven, mas dá suporte a atualizações em arquivos pom.xml.
CLI do NuGet
O Dependabot não executa a CLI do NuGet, mas dá suporte à maioria dos recursos até a versão 4.8.
pub
Dependabot não executará uma atualização para pub quando a versão para a qual ele tenta atualizar for ignorada, mesmo se uma versão anterior estiver disponível.
Se o seu repositório já usa uma integração para gerenciamento de dependências, você precisará desativar isso antes de habilitar o Dependabot.
Sobre notificações para atualizações de versão para Dependabot
Você pode filtrar suas notificações em GitHub para mostrar as notificações para pull requests criados por Dependabot. Para obter mais informações, confira "Gerenciamento de notificações da sua caixa de entrada".