Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances

Note

Votre administrateur de site doit configurer les Dependabot updates pour votre instance GitHub Enterprise Server afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».

Il se peut que vous ne puissiez pas activer ou désactiver Dependabot updates si le propriétaire de l'entreprise a défini une politique au niveau de l'entreprise. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».

À propos des demandes de tirage Dependabot

Dependabot déclenche des demandes de tirage pour mettre à jour les dépendances. Selon la configuration de votre dépôt, Dependabot peut déclencher des demandes de tirage pour des mises à jour de version et/ou des mises à jour de sécurité. Vous gérez ces demandes de tirage comme toute demande de tirage, mais des commandes supplémentaires sont disponibles. Pour plus d’informations sur l’activation des mises à jour de dépendances Dependabot, consultez Configuration des mises à jour de sécurité Dependabot et Configuration de mises à jour de version Dependabot.

Quand Dependabot déclenche une demande de tirage, vous êtes averti par la méthode que vous avez choisie pour le dépôt. Chaque demande de tirage contient des informations détaillées sur la modification proposée, extraites du gestionnaire de package. Ces demandes de tirage suivent les vérifications et tests normaux définis dans votre dépôt.

Si vous avez de nombreuses dépendances à gérer, vous souhaiterez peut-être personnaliser la configuration de chaque gestionnaire de packages afin que les demandes de tirage aient des réviseurs, des destinataires et des étiquettes spécifiques. Vous pouvez également regrouper des ensembles de dépendances, afin que plusieurs dépendances soient mises à jour en une seule demande de tirage. Pour plus d’informations, consultez Personnalisation des demandes de tirage de Dependabot pour répondre à vos processus et Configuration des mises à jour de sécurité Dependabot.

Note

Si vous n'interagissez pas avec les Dependabot requêtes de triage pour un référentiel pendant une période de 90 jours, Dependabot considère votre référentiel comme inactif, et mettra automatiquement en pause les Dependabot updates. Pour plus d’informations sur les critères d’inactivité, consultez À propos des mises à jour de version Dependabot et À propos des mises à jour de sécurité Dependabot.

Affichage des demandes de tirage Dependabot

Sur GitHub, accédez à la page principale du référentiel.
Sous le nom du référentiel, cliquez sur Demandes de tirage.
Toutes les demandes de tirage pour les mises à jour de sécurité ou de version sont faciles à identifier.
- L’auteur est dependabot, le compte de bot utilisé par Dependabot.
- Par défaut, elles ont l’étiquette dependencies.

Modification de la stratégie de rebasage pour les demandes de tirage Dependabot

Par défaut, Dependabot rebase automatiquement les demandes de tirage pour résoudre les conflits. Si aucune demande de tirage n’a été fusionnée depuis 30 jours, Dependabot cesse de rebaser la demande de tirage. Vous pouvez toujours rebaser et fusionner manuellement la demande de tirage. Si vous préférez gérer les conflits de fusion manuellement, vous pouvez désactiver cette configuration avec l’option rebase-strategy. Pour plus d’informations, consultez Référence des options de Dependabot.

Autorisation à Dependabot de procéder au rebasage et forcer la poussée sur des commits supplémentaires

Par défaut, Dependabot arrête de procéder au rebasage d’une demande de tirage une fois que des commits supplémentaires ont été poussés vers celle-ci. Pour autoriser Dependabot à forcer la poussée sur des commits ajoutés à ses branches, incluez l’une des chaînes suivantes : [dependabot skip], [skip dependabot], [dependabot-skip] ou [skip-dependabot], en minuscules ou en majuscules, au message de commit.

Gestion des demandes de tirage Dependabot avec des commandes de commentaire

Dependabot répond à des commandes simples dans les commentaires. Chaque demande de tirage contient des détails sur les commandes que vous pouvez utiliser pour la traiter (par exemple : fusionner, condenser, rouvrir, fermer ou rebaser la demande de tirage) sous la section « Commandes et options Dependabot ». L’objectif est de faciliter le tri de ces demandes de tirage automatiquement générées.

Vous pouvez utiliser l’une des commandes suivantes sur une demande de tirage Dependabot.

@dependabot cancel merge annule une fusion demandée.
@dependabot close ferme la demande de tirage et empêche Dependabot de la recréer. Vous pouvez obtenir le même résultat en fermant la demande de tirage manuellement.
@dependabot ignore this dependency ferme la demande de tirage et empêche Dependabot de créer davantage de demandes de tirage pour cette dépendance (sauf si vous rouvrez la demande de tirage ou effectuez vous-même une mise à niveau vers la version suggérée de la dépendance).
@dependabot ignore this major version ferme la demande de tirage et empêche Dependabot de créer davantage de demandes de tirage pour cette version principale (sauf si vous rouvrez la demande de tirage ou effectuez vous-même une mise à niveau vers cette version principale).
@dependabot ignore this minor version ferme la demande de tirage et empêche Dependabot de créer davantage de demandes de tirage pour cette version mineure (sauf si vous rouvrez la demande de tirage ou effectuez vous-même une mise à niveau vers cette version mineure).
@dependabot ignore this patch version ferme la demande de tirage et empêche Dependabot de créer davantage de demandes de tirage pour cette version du correctif (sauf si vous rouvrez la demande de tirage ou effectuez vous-même une mise à niveau vers cette version du correctif).
@dependabot merge fusionne la demande de tirage une fois que vos tests CI ont réussi.
@dependabot rebase rebase la demande de tirage.
@dependabot recreate recrée la demande de tirage, en écrasant toutes les modifications qui y ont été apportées.
@dependabot reopen rouvre la demande de tirage si elle est fermée.
@dependabot show DEPENDENCY_NAME ignore conditions récupère des informations sur les conditions d’ignorance pour la dépendance spécifiée, et commente la demande de tirage avec un tableau qui affiche toutes les conditions d’ignorance pour la dépendance. Par exemple, @dependabot show express ignore conditions trouverait toutes les conditions ignore stockées pour la dépendance Express et commenterait la demande de tirage avec ces informations.
@dependabot squash and merge condense et fusionne la demande de tirage une fois que vos tests CI ont réussi.

Dependabot réagit avec un emoji « pouce vers le haut » pour reconnaître la commande et peut répondre avec un commentaire sur la demande de tirage. Même si Dependabot répond généralement rapidement, l’exécution de certaines commandes peut prendre plusieurs minutes si Dependabot est occupé à traiter d’autres mises à jour ou commandes.

Si vous exécutez l’une des commandes permettant d’ignorer les dépendances ou les versions, Dependabot stocke les préférences du dépôt de façon centralisée. Même s’il s’agit d’une solution rapide, pour les dépôts avec plusieurs contributeurs, il est préférable de définir explicitement les dépendances et les versions à ignorer dans le fichier de configuration. Ainsi, tous les contributeurs peuvent facilement voir pourquoi une dépendance particulière n’est pas automatiquement mise à jour.

Pour plus d’informations, consultez « Référence des options de Dependabot ».

Gérer des demandes de tirage (pull requests) Dependabot pour les mises à jour groupées avec des commandes de commentaire

Dans les demandes de tirage (pull requests) Dependabot destinées aux mises à jour de version et les correctifs de sécurité groupés, vous pouvez utiliser des commandes de commentaire pour ignorer et non les mises à jour pour des dépendances et des versions spécifiques. Vous pouvez utiliser l’une des commandes suivantes pour gérer les conditions d’ignorance des conditions des mises à jour groupées.

@dependabot ignore DEPENDENCY_NAME ferme la demande de tirage et empêche Dependabot de mettre à jour cette dépendance.
@dependabot ignore DEPENDENCY_NAME major version ferme la demande de tirage et empêche Dependabot de mettre à jour la version principale de cette dépendance.
@dependabot ignore DEPENDENCY_NAME minor version ferme la demande de tirage et empêche Dependabot de mettre à jour la version mineure de cette dépendance.
@dependabot ignore DEPENDENCY_NAME patch version ferme la demande de tirage et empêche Dependabot de mettre à jour la version du correctif de cette dépendance.
@dependabot unignore * ferme la demande de tirage actuelle, efface toutes les ignore conditions stockées pour toutes les dépendances du groupe, puis ouvre une nouvelle demande de tirage.
@dependabot unignore DEPENDENCY_NAME ferme la demande de tirage (pull request) actuelle, efface toutes les conditions ignore stockées pour la dépendance, puis ouvre une nouvelle demande de tirage (pull request) qui inclut les mises à jour disponibles pour la dépendance spécifiée. Par exemple, @dependabot unignore lodash pourrait ouvrir une nouvelle demande de tirage (pull request) qui inclut des mises à jour pour la dépendance Lodash.
@dependabot unignore DEPENDENCY_NAME IGNORE_CONDITION ferme la demande de tirage (pull request) actuelle, efface la condition ignore stockée, puis ouvre une nouvelle demande de tirage (pull request) qui inclut les mises à jour de version disponibles pour la condition d’ignorance spécifiée. Par exemple, @dependabot unignore express [< 1.9, > 1.8.0] pourrait ouvrir une nouvelle demande de tirage (pull request) qui inclut des mises à jour pour Express entre les versions 1.8.0 et 1.9.0.

Tip

Lorsque vous souhaitez annuler une condition d'ignorance spécifique, utilisez la commande @dependabot show DEPENDENCY_NAME ignore conditions pour vérifier rapidement les conditions d'ignorance d'une dépendance.