Solicitações de pull Dependabot

Entenda as opções de frequência e personalização de solicitações pull para atualizações de versão e segurança.

Neste artigo

Solicitações de pull para atualizações de segurança

Se você tiver ativado as atualizações de segurança, os pull requests para atualizações de segurança serão acionados por um alerta Dependabot para uma dependência na branch padrão. Dependabot gera automaticamente uma solicitação de pull para atualizar a dependência vulnerável.

Cada pull request contém tudo o que você precisa para revisar mesclar, de forma rápida e segura, uma correção proposta em seu projeto. Isto inclui informações sobre a vulnerabilidade como, por exemplo, notas de lançamento, entradas de registros de mudanças e detalhes do commit. Os detalhes sobre qual vulnerabilidade um pull request corrige ficam ocultos para qualquer pessoa que não tenha acesso ao Dependabot alerts do repositório.

Quando você mescla uma solicitação de pull que contém uma atualização de segurança, o alerta correspondente Dependabot é marcado como resolvido para o repositório. Para obter mais informações sobre Dependabot solicitações de pull, consulte Gerenciar pull requests para atualizações de dependências.

Observação

É uma prática recomendada ter testes automatizados e processos de aceitação em vigor para que as verificações sejam realizadas antes da mesclagem da pull request. Isso é especialmente importante se a versão sugerida a ser atualizada contiver funcionalidades adicionais ou se uma mudança que quebrar o código do seu projeto. Para saber mais sobre a integração contínua, confira Integração contínua.

Personalizando solicitações de pull para atualizações de segurança

Você pode personalizar como Dependabot gera solicitações de pull para atualizações de segurança, para que elas se ajustem melhor aos processos e prioridades de segurança do seu projeto. Por exemplo:

  • Otimize Dependabot as solicitações de pull para priorizar atualizações significativas agrupando várias atualizações em uma única solicitação de pull.
  • Aplique rótulos personalizados para integrar Dependabotsolicitações de pull aos fluxos de trabalho existentes.

De forma semelhante às atualizações de versão, as opções de personalização para atualizações de segurança são definidas no arquivo dependabot.yml. Se você já personalizou o dependabot.yml para atualizações de versão, muitas das opções de configuração definidas também poderão ser aplicadas automaticamente às atualizações de segurança. No entanto, há alguns pontos importantes a serem observados:

  • Dependabot security updates são sempre acionados por um alerta de segurança, em vez de ocorrerem de acordo com o schedule que você definiu no dependabot.yml para atualizações de versão.
  • Dependabot gera solicitações de pull para atualizações de segurança somente no branch padrão. Se a sua configuração definir um valor para target-branch, a personalização desse ecossistema de pacotes só se aplicará às atualizações de versão por padrão.

Para obter mais informações, consulte Personalizar pull requests para atualizações de segurança do Dependabot.

Solicitações de pull para atualizações de versão

Para atualizações de versão, especifique com que frequência cada ecossistema deve verificar se há novas versões no arquivo de configuração: diárias, semanais ou mensais.

Quando você habilitar atualizações de versão pela primeira vez, você pode ter muitas dependências que estão desatualizadas e algumas podem ser muitas versões por trás da versão mais recente. O Dependabot verifica as dependências desatualizadas assim que estiver habilitado. Você pode ver novas pull requests para atualizações de versão dentro de alguns minutos após adicionar o arquivo de configuração, dependendo do número de arquivos de manifesto para os quais você configura as atualizações. Dependabot também será executada uma atualização sobre as alterações subsequentes no arquivo de configuração.

Para manter as solicitações de pull gerenciáveis e fáceis de serem revisadas, o Dependabot gera, no máximo, cinco solicitações de pull para começar a trazer as dependências para a última versão. Se você fizer o merge de algumas desses primeiros pull requests antes da próxima atualização programada, Os pull requests restantes serão abertos na próxima atualização, até o máximo. Você pode alterar o número máximo de solicitações de pull em aberto definindo a opção de configuração open-pull-requests-limit.

Para reduzir ainda mais o número de solicitações de pull que você está vendo, você pode usar a opção de configuração groups para agrupar conjuntos de dependências (por ecossistema de pacote). Em seguida, o Dependabot gera uma única solicitação de pull para atualizar o máximo de dependências possível no grupo para as versões mais recentes ao mesmo tempo. Para obter mais informações, consulte Otimizando a criação de pull requests para atualizações de versão do Dependabot.

Comandos para Dependabot solicitações de pull

Dependabot responde a comandos simples nos comentários. Cada solicitação de pull contém detalhes dos comandos que você pode usar para processar a solicitação de pull (por exemplo: mesclar, esmagar, reabrir, fechar ou rebasear a solicitação de pull) na seção "Dependabot comandos e opções". O objetivo é facilitar ao máximo a triagem dessas pull requests geradas automaticamente. Para obter mais informações, consulte Comandos de comentário de solicitação de pull do Dependabot.