Enterprise Server 3.21 est actuellement disponible en tant que version candidate.

Pull requests de Dependabot

Comprendre la fréquence et les options de personnalisation des pull requests pour les mises à jour de version et de sécurité.

Dans cet article

Pull requests pour les mises à jour de sécurité

Si vous avez activé les mises à jour de sécurité, les pull requests de mise à jour de sécurité sont déclenchées par une alerte Dependabot concernant une dépendance sur votre branche par défaut. Dependabot crée automatiquement une pull request pour mettre à jour la dépendance vulnérable.

Chaque demande de tirage contient tout ce dont vous avez besoin pour examiner un correctif proposé et le fusionner dans votre projet rapidement et de manière sécurisée. Cela inclut des informations sur la vulnérabilité, telles que les notes de publication, les entrées du journal des modifications et les détails de commit. Les détails de la vulnérabilité qu’une pull request corrige sont masqués pour toute personne qui n’a pas accès au dépôt Dependabot alerts.

Lorsque vous fusionnez une pull request contenant une mise à jour de sécurité, l’alerte Dependabot correspondante est marquée comme résolue pour votre dépôt. Pour plus d’informations sur les Dependabot pull requests, consultez Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances.

Remarque

Une bonne pratique consiste à mettre en place des tests automatisés et des processus d’acceptation afin que les vérifications soient effectuées avant la fusion de la demande de tirage. Cette pratique est d’autant plus importante si la version suggérée vers laquelle effectuer la mise à niveau contient des fonctionnalités supplémentaires ou un changement qui casse le code de votre projet. Pour plus d’informations sur l’intégration continue, consultez « Intégration continue ».

Personnalisation des requêtes de tirage pour les mises à jour de sécurité

Vous pouvez personnaliser la façon dont Dependabot crée des pull requests pour les mises à jour de sécurité, afin qu’elles correspondent au mieux aux priorités et aux processus de sécurité de votre projet. Par exemple:

  • Optimisez les Dependabot demandes de tirage pour hiérarchiser les mises à jour significatives en regroupant plusieurs mises à jour dans une requête de tirage unique.
  • Appliquez des étiquettes personnalisées pour intégrer Dependabotles demandes de tirage dans vos flux de travail existants.

Comme pour les mises à jour de version, les options de personnalisation des mises à jour de sécurité sont définies dans le fichier dependabot.yml. Si vous avez déjà personnalisé le dependabot.yml pour les mises à jour de version, la plupart des options de configuration que vous avez définies peuvent également s’appliquer automatiquement aux mises à jour de sécurité. Toutefois, il existe quelques points importants à noter :

  • Dependabot security updates sont toujours déclenchés par une alerte de sécurité, plutôt que de s’exécuter selon les schedule que vous avez définis dans la dependabot.yml pour les mises à jour de version.
  • Dependabot crée des pull requests pour les mises à jour de sécurité uniquement vers la branche par défaut. Si votre configuration définit une valeur pour target-branch, la personnalisation de cet écosystème de packages s’applique uniquement aux mises à jour de version par défaut.

Pour plus d’informations, consultez « Personnalisation des demandes de tirage pour les mises à jour de sécurité de Dependabot ».

Pull requests pour les mises à jour de version

Pour les mises à jour de version, vous spécifiez la fréquence à laquelle vérifier chaque écosystème pour les nouvelles versions dans le fichier de configuration : quotidienne, hebdomadaire ou mensuelle.

Lorsque vous activez les mises à jour de version pour la première fois, vous pouvez avoir de nombreuses dépendances obsolètes et certaines peuvent remonter à de nombreuses versions avant la dernière version. Dependabot recherche les dépendances obsolètes dès qu’il est activé. Vous pouvez voir de nouvelles demandes de tirage pour les mises à jour de version dans les minutes qui suivent l’ajout du fichier de configuration, en fonction du nombre de fichiers manifeste pour lesquels vous configurez les mises à jour. Dependabot exécute également une mise à jour sur les modifications suivantes apportées au fichier de configuration.

Pour que les demandes de tirage restent faciles à gérer et à réviser, Dependabot déclenche un maximum de cinq demandes de tirage pour commencer à mettre les dépendances à niveau vers la version la plus récente. Si vous fusionnez certaines de ces premières demandes de tirage avant la prochaine mise à jour planifiée, les demandes de tirage restantes seront ouvertes au cours de la prochaine mise à jour, jusqu’à ce maximum. Vous pouvez modifier le nombre maximal de demandes de tirage ouvertes en définissant l’option de configuration open-pull-requests-limit.

Pour réduire davantage le nombre de demandes de tirage que vous pouvez voir, vous pouvez utiliser l’option de configuration groups pour regrouper des ensembles de dépendances (par écosystème de packages). Dependabot génère alors une seule demande de tirage pour mettre à jour simultanément autant de dépendances que possible dans le groupe vers les dernières versions. Pour plus d’informations, consultez Optimisation de la création de requêtes de tirage pour les mises à jour de version Dependabot.

Commandes pour les Dependabotrequêtes de tirage

Dependabot répond à des commandes simples dans les commentaires. Chaque pull request contient des informations sur les commandes que vous pouvez utiliser pour traiter la pull request (par exemple : la fusionner, la fusionner en un seul commit, la rouvrir, la fermer ou la rebaser) dans la section « commandes et options Dependabot ». L’objectif est de faciliter le tri de ces demandes de tirage automatiquement générées. Pour plus d’informations, consultez « Commandes de commentaires des pull requests Dependabot ».