Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Sobre as atualizações de versão do GitHub Dependabot

Você pode usar o GitHub Dependabot para manter os pacotes que usa atualizados para as versões mais recentes.

Neste artigo

Esse documento ajudou você?

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.

Nota: Atualizações de versão do GitHub Dependabot está atualmente em versão beta e sujeito a alterações. Para usar a funcionalidade beta, verifique em um arquivo de configuração para informar GitHub Dependabot quais dependências devem manter para você. Para obter detalhes, consulte "Enabling and disabling version updates."

Sobre o Atualizações de versão do GitHub Dependabot

O GitHub Dependabot facilita a manutenção de suas dependências. Você pode usá-lo para garantir que seu repositório se mantenha atualizado automaticamente com as versões mais recentes dos pacotes e aplicações do qual ele depende.

Você habilita o Atualizações de versão do GitHub Dependabot verificando um arquivo de configuração no seu repositório. O arquivo de configuração especifica a localização do manifesto ou outros arquivos de definição de pacote, armazenados no seu repositório. O Dependabot usa essas informações para verificar pacotes e aplicativos desatualizados. Dependabot determina se há uma nova versão de uma dependência observando a versão semântica (semver) da dependência para decidir se deve atualizar para essa versão. Para certos gerentes de pacote, Atualizações de versão do GitHub Dependabot também é compatível com armazenamento. Dependências de vendor (ou armazenadas) são dependências registradas em um diretório específico em um repositório, em vez de referenciadas em um manifesto. Dependências de vendor estão disponíveis no tempo de criação, ainda que os servidores de pacote estejam indisponíveis. Atualizações de versão do GitHub Dependabot pode ser configurado para verificar as dependências de vendor para novas versões e atualizá-las, se necessário.

Quando Dependabot identifica uma dependência desatualizada, ele cria uma pull request para atualizar o manifesto para a última versão da dependência. Para dependências de vendor, Dependabot levanta um pull request para substituir diretamente a dependência desatualizada pela nova versão. Você verifica se os seus testes passam, revisa o changelog e lança observações incluídas no resumo do pull request e, em seguida, faz a mesclagem. Para obter detalhes, consulte "Habilitando e desabilitando atualizações da versão."

Se você habilitar atualizações de segurança, GitHub Dependabot também promove pull requests para atualizar dependências vulneráveis. Para obter mais informações, consulte "Sobre Atualizações de segurança do GitHub Dependabot".

GitHub Dependabot e todos os recursos relacionados estão cobertos pelos Termos de Serviço de GitHub.

Frequência de GitHub Dependabot pull requests

Você especifica com que frequência verifica cada ecossistema para novas versões no arquivo de configuração: diariamente, semanalmente ou mensalmente.

Quando você habilitar atualizações de versão pela primeira vez, você pode ter muitas dependências que estão desatualizadas e algumas podem ser muitas versões por trás da versão mais recente. O GitHub Dependabot verifica as dependências desatualizadas assim que estiver habilitado. Você pode ver novas pull requests para atualizações de versão dentro de alguns minutos após adicionar o arquivo de configuração, dependendo do número de arquivos de manifesto para os quais você configura as atualizações.

Para manter os pull requests gerenciáveis e fáceis de revisar, o Dependabot gera um máximo de cinco pull requests para começar a criar dependências até a versão mais recente. Se você fizer o merge de algumas destas primeiras pull requests antes da próxima atualização programada, então as próximas pull requests serão abertas até um máximo de cinco (você pode alterar esse limite).

Se tiver habilitado atualizações de segurança, às vezes você verá atualizações de segurança extras de pull requests. Elas são acionadas por um alerta de Dependabot para uma dependência de seu branch padrão. GitHub Dependabot gera automaticamente um pull request para atualizar a dependência vulnerável.

Repositórios e ecossistemas suportados

Atualmente, Atualizações de versão do GitHub Dependabot não é compatível com manifesto ou arquivos de bloqueio que contêm dependências do git privadas ou registros do git privados. Isso é porque, quando estiver executando atualizações de versão, o Dependabot deve ser capaz de resolver todas as dependências da sua fonte para verificar se as atualizações da versão foram bem-sucedidas.

É possível configurar atualizações de versão para repositórios que contenham um manifesto de dependência ou arquivo de bloqueio para um dos gerentes de pacotes suportados. Para alguns gerenciadores de pacotes, você também pode configurar o armazenamento para dependências. Para obter mais informações, consulte "Opções de configuração para atualizações de dependências".

Gerenciador de pacotesSuporta vendoring
Bundler: bundlerX
Cargo: cargo
Composer: composer
Docker: docker
Elm: elm
git submodule: gitsubmodule
GitHub Actions: github-actions
Go modules: gomodX
Gradle: gradle
Maven: maven
Mix: mix
npm: npm
NuGet: nuget
pip: pip
Terraform: terraform

Observação: Dependabot também é compatível os seguintes gerentes de pacote:

-yarn (apenas v1) (especifique npm)

-pipenv, pip-compile e poetry (especifique pip)

Por exemplo, se você usa o poetry para gerenciar suas dependências do Python e quer que Dependabot monitore seu arquivo de manifesto de dependência para novas versões, use pacote-ecosystem: "pip" no seu arquivo dependabot.yml.

Se o seu repositório já usa uma integração para gerenciamento de dependências, você precisará desativar isso antes de habilitar o GitHub Dependabot. Para obter mais informações, consulte "Sobre integrações".

Esse documento ajudou você?

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.