Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Sobre as atualizações de versão do GitHub Dependabot

Você pode usar o GitHub Dependabot para manter os pacotes que usa atualizados para as versões mais recentes.

Neste artigo

Nota: Atualizações de versão do GitHub Dependabot está atualmente em versão beta e sujeito a alterações. Para usar a funcionalidade beta, verifique em um arquivo de configuração para informar GitHub Dependabot quais dependências devem manter para você. Para obter detalhes, consulte "Enabling and disabling version updates."

Sobre o Atualizações de versão do GitHub Dependabot

O GitHub Dependabot facilita a manutenção de suas dependências. Você pode usá-lo para garantir que seu repositório se mantenha atualizado automaticamente com as versões mais recentes dos pacotes e aplicações do qual ele depende.

Você habilita o Atualizações de versão do GitHub Dependabot verificando um arquivo de configuração no seu repositório. O arquivo de configuração especifica a localização do manifesto ou outros arquivos de definição de pacote, armazenados no seu repositório. O Dependabot usa essas informações para verificar pacotes e aplicativos desatualizados. Dependabot determina se há uma nova versão de uma dependência observando a versão semântica (semver) da dependência para decidir se deve atualizar para essa versão. Quando Dependabot identifica uma dependência desatualizada, ele cria uma pull request para atualizar o manifesto para a última versão da dependência. Você verifica se os seus testes passam, revisa o changelog e lança observações incluídas no resumo do pull request e, em seguida, faz a mesclagem. Para obter detalhes, consulte "Habilitando e desabilitando atualizações da versão."

Se você habilitar atualizações de segurança, GitHub Dependabot também promove pull requests para atualizar dependências vulneráveis. Para obter mais informações, consulte "Configurando Atualizações de segurança do GitHub Dependabot."

GitHub Dependabot and all related features are covered by GitHub's Terms of Service.

Frequência de GitHub Dependabot pull requests

Você especifica com que frequência verifica cada ecossistema para novas versões no arquivo de configuração: diariamente, semanalmente ou mensalmente.

Quando você habilitar atualizações de versão pela primeira vez, você pode ter muitas dependências que estão desatualizadas e algumas podem ser muitas versões por trás da versão mais recente. GitHub Dependabot checks for outdated dependencies as soon as it's enabled. Você pode ver novas pull requests para atualizações de versão dentro de alguns minutos após adicionar o arquivo de configuração, dependendo do número de arquivos de manifesto para os quais você configura as atualizações.

To keep pull requests manageable and easy to review, Dependabot raises a maximum of five pull requests to start bringing dependencies up to the latest version. Se você fizer o merge de algumas destas primeiras pull requests antes da próxima atualização programada, então as próximas pull requests serão abertas até um máximo de cinco (você pode alterar esse limite).

Se tiver habilitado atualizações de segurança, às vezes você verá atualizações de segurança extras de pull requests. Elas são acionadas por um alerta de Dependabot para uma dependência de seu branch padrão. GitHub Dependabot gera automaticamente um pull request para atualizar a dependência vulnerável.

Repositórios e ecossistemas suportados

Currently, Atualizações de versão do GitHub Dependabot doesn't support manifest or lock files that contain any private git dependencies or private git registries. This is because, when running version updates, Dependabot must be able to resolve all dependencies from their source to verify that version updates have been successful. However, if you want to enable version updates for dependency manifests or lock files that do contain private dependencies, you can still enable Dependabot preview.

É possível configurar atualizações de versão para repositórios que contenham um manifesto de dependência ou arquivo de bloqueio para um dos gerentes de pacotes suportados.

  • Bundler: bundler
  • Cargo: cargo
  • Composer: composer
  • Docker: docker
  • Elm: elm
  • git submodule: gitsubmodule
  • GitHub Actions: github-actions
  • Go modules: gomod
  • Gradle: gradle
  • Maven: maven
  • Mix: mix
  • npm: npm
  • NuGet: nuget
  • pip: pip
  • Terraform: terraform

Se o seu repositório já usa uma integração para gerenciamento de dependências, você precisará desativar isso antes de habilitar o GitHub Dependabot. Para obter mais informações, consulte "Sobre integrações".

Pergunte a uma pessoa

Não consegue encontrar o que procura?

Entrar em contato