Gerenciar pull requests para atualizações de dependências

Você gerencia pull requests criadas por Dependabot da mesma forma que outras pull requests, mas existem algumas opções extras.

Quem pode usar esse recurso?

Usuários com com acesso para gravação

Neste artigo

Observação

O administrador do site precisa configurar as Dependabot updates do sua instância do GitHub Enterprise Server para que você possa usar esse recurso. Para saber mais, confira Habilitando o Dependabot para sua empresa.

Talvez você não consiga habilitar ou desabilitar Dependabot updates se um proprietário da empresa tiver definido uma política no nível da empresa. Para saber mais, confira Como impor políticas para segurança e análise de código na empresa.

Visualizando pull requests Dependabot

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Pull requests.

    Captura de tela da página principal de um repositório. Na barra de navegação horizontal, uma guia, rotulada como "Solicitações de pull", é destacada em laranja escuro.

  3. Todos os pull requests de atualização de segurança ou versão são fáceis de identificar.

    • O autor é dependabot, a conta de bot usada pelo Dependabot.
    • Por padrão, elas têm o rótulo dependencies.

Alterando a estratégia de rebase para pull requests Dependabot

Por padrão, o Dependabot faz o rebaseamento automaticamente de pull requests para resolver quaisquer conflitos. Se uma solicitação de pull não for mesclada em 30 dias, o Dependabot interromperá a troca de base da solicitação de pull. Você ainda poderá trocar a base manualmente e mesclar a solicitação de pull. Se preferir lidar com conflitos de mesclagem manualmente, você pode desativar isso usando a opção rebase-strategy. Para obter detalhes, confira Referência de opções do Dependabot.

Ao permitir que o Dependabot troque de base e imponha o envio por push sem vez de obre confirmações adicionais

Por padrão, o Dependabot interromperá a troca de base de uma solicitação de pull assim que as confirmações adicionais forem enviadas por push para ele. Para permitir que o Dependabot imponha o envio por push em vez da adição de conformações às ramificações, inclua qualquer uma das seguintes cadeias de caracteres: [dependabot skip], [skip dependabot], [dependabot-skip] ou [skip-dependabot], minúsculas ou maiúsculas, na a mensagem de confirmação.

Gerenciando pull requests Dependabot com comandos de comentário

Você pode usar comandos de comentário em solicitações de pull Dependabot para gerenciar e personalizar suas atualizações de dependência. Para obter detalhes, confira Comandos de comentário de solicitação de pull do Dependabot.

Dependabot reagirá com um emoji "positivo" para reconhecer o comando e pode responder com um comentário na pull request. Embora Dependabot normalmente responda rapidamente, alguns comandos podem levar vários minutos para serem concluídos se Dependabot estiver ocupado processando outras atualizações ou comandos.

Se você executar algum comando para ignorar dependências ou versões, o Dependabot armazena centralmente as preferências para o repositório. Embora esta seja uma solução rápida, para repositórios com mais de um colaborador é melhor definir explicitamente as dependências e versões para ignorar no arquivo de configuração. Isso facilita que todos os colaboradores vejam por que uma determinada dependência não está sendo atualizada automaticamente.

Para saber mais, confira Referência de opções do Dependabot.