Observação
O administrador do site precisa configurar as Dependabot updates do sua instância do GitHub Enterprise Server para que você possa usar esse recurso. Para saber mais, confira Habilitando o Dependabot para sua empresa.
Talvez você não consiga habilitar ou desabilitar Dependabot updates se um proprietário da empresa tiver definido uma política no nível da empresa. Para saber mais, confira Como impor políticas para segurança e análise de código na empresa.
Gerenciamento Dependabot security updates para seus repositórios
Você pode habilitar ou desabilitar Dependabot security updates para todos os repositórios qualificados pertencentes à sua conta pessoal ou organização. Para saber mais, confira Gerenciando recursos de segurança e análise ou Gerenciando as configurações de segurança e de análise da sua organização.
Você também pode habilitar ou desabilitar Dependabot security updates para um repositório individual.
Habilitar ou desabilitar Dependabot security updates para um repositório individual
-
Em GitHub, acesse a página principal do repositório.
-
No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Security" da barra lateral, clique em Code security and analysis.
-
À direita de "Dependabot atualizações de segurança", clique em Habilitar para habilitar o recurso ou Desabilitar para desabilitá-lo.
Agrupamento Dependabot security updates em uma única solicitação de pull
Para usar atualizações de segurança agrupadas, você deve primeiro habilitar os seguintes recursos:
-
**Gráfico de dependências**. Para saber mais, confira [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-the-dependency-graph). -
** Dependabot alerts **. Para saber mais, confira [AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts). -
** Dependabot security updates **. Para saber mais, confira [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).
Observação
Quando as atualizações de segurança agrupadas estiverem habilitadas pela primeira vez, Dependabot tentará imediatamente criar solicitações de pull agrupadas. Você pode perceber Dependabot fechando pull requests antigos e abrindo novos.
Você pode habilitar pull requests para Dependabot security updates de uma ou ambas as seguintes maneiras.
- Para agrupar o máximo possível de atualizações de segurança disponíveis, entre diretórios e por ecossistema, habilite o agrupamento nas configurações "Code security and analysis" para seu repositório ou em "Configurações globais" em Code security and analysis para sua organização.
- Para obter um controle mais granular do agrupamento, como agrupamento por nome de pacote, dependências de desenvolvimento, nível do SemVer ou entre vários diretórios por ecossistema, adicione opções de configuração ao arquivo de configuração
dependabot.ymlem seu repositório.
Observação
Se você tiver configurado regras de grupo para Dependabot security updates em um arquivo dependabot.yml, todas as atualizações disponíveis serão agrupadas de acordo com as regras especificadas. Dependabot só serão agrupados nos diretórios não configurados em seu dependabot.yml se a configuração para atualizações de segurança agrupadas no nível da organização ou repositório também estiver habilitada.
Habilitar ou desabilitar o agrupamento Dependabot security updates para o repositório individual
-
Em GitHub, acesse a página principal do repositório.
-
No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Security" da barra lateral, clique em Code security and analysis.
-
Em "Code security and analysis", à direita de "Atualizações de segurança agrupadas", clique em Habilitar para habilitar o recurso ou Desabilitar desabilitá-lo.
Habilitando ou desabilitando o recurso de agrupamento Dependabot security updates para uma organização
Você pode habilitar o agrupamento Dependabot security updates em uma única pull request. Para saber mais, confira [AUTOTITLE](/code-security/securing-your-organization/enabling-security-features-in-your-organization/configuring-global-security-settings-for-your-organization#grouping-dependabot-security-updates).
Como substituir o comportamento padrão com um arquivo de configuração
Você pode substituir o comportamento padrão de Dependabot security updates adicionando um arquivo dependabot.yml ao seu repositório. Com um dependabot.yml arquivo, você pode ter um controle mais granular do agrupamento e substituir o comportamento padrão das Dependabot security updates configurações.
Use a opção groups com a applies-to: security-updates chave para criar conjuntos de dependências (por gerenciador de pacotes), de modo que Dependabot abra uma única solicitação de pull para atualizar várias dependências ao mesmo tempo. Você pode definir grupos por nome de pacote (as chaves patterns e exclude-patterns ), tipo de dependência (chavedependency-type ) e SemVer (chave update-types ).
Dependabot cria grupos na ordem em que aparecem no arquivo dependabot.yml. Se uma atualização de dependência puder pertencer a mais de um grupo, ela será atribuída apenas ao primeiro grupo com o qual corresponder.
Se você precisar apenas das atualizações de segurança e quiser excluir as atualizações de versão, você pode definir open-pull-requests-limit como 0 para evitar atualizações de versão de um determinado package-ecosystem.
Para obter mais informações sobre as opções de configuração disponíveis para atualizações de segurança, consulte Personalizar pull requests para atualizações de segurança do Dependabot.
# Example configuration file that:
# - Has a private registry
# - Ignores lodash dependency
# - Disables version-updates
# - Defines a group by package name, for security updates for golang dependencies
version: 2
registries:
example:
type: npm-registry
url: https://example.com
token: ${{secrets.NPM_TOKEN}}
updates:
- package-ecosystem: "npm"
directory: "/src/npm-project"
schedule:
interval: "daily"
# For Lodash, ignore all updates
ignore:
- dependency-name: "lodash"
# Disable version updates for npm dependencies
open-pull-requests-limit: 0
registries:
- example
- package-ecosystem: "gomod"
directories:
- "**/*"
schedule:
interval: "weekly"
open-pull-requests-limit: 0
groups:
golang:
applies-to: security-updates
patterns:
- "golang.org*"
# Example configuration file that:
# - Has a private registry
# - Ignores lodash dependency
# - Disables version-updates
# - Defines a group by package name, for security updates for golang dependencies
version: 2
registries:
example:
type: npm-registry
url: https://example.com
token: ${{secrets.NPM_TOKEN}}
updates:
- package-ecosystem: "npm"
directory: "/src/npm-project"
schedule:
interval: "daily"
# For Lodash, ignore all updates
ignore:
- dependency-name: "lodash"
# Disable version updates for npm dependencies
open-pull-requests-limit: 0
registries:
- example
- package-ecosystem: "gomod"
directories:
- "**/*"
schedule:
interval: "weekly"
open-pull-requests-limit: 0
groups:
golang:
applies-to: security-updates
patterns:
- "golang.org*"
Observação
Para que Dependabot use esta configuração para atualizações de segurança, o directory deve ser o caminho para os arquivos de manifesto (ou directories deve conter caminhos ou padrões glob que correspondam aos locais dos arquivos de manifesto), e você não deve especificar um target-branch.
Leitura adicional
-
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts) -
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts) -
[AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/dependency-graph-supported-package-ecosystems#supported-package-ecosystems)