Pull requests de atualização do Dependabot não são mais geradas

O Dependabot pode pausar atualizações com base na interação com pull requests do Dependabot. Saiba mais sobre a desativação automática de Dependabot updates.

Quem pode usar esse recurso?

Users with write access

Neste artigo

  • Quando os mantenedores de um repositório param de interagir com solicitações de pull do Dependabot, o Dependabot pausa temporariamente as atualizações e deixa você a par.

  • O Dependabot também para de trocar a base das pull requests de atualizações de versão e de segurança após 30 dias, reduzindo as notificações de pull requests inativas do Dependabot.

Sobre a desativação automática de Dependabot updates

O Dependabot pausa atualizações em seus repositórios, com base na interação com pull requests de Dependabot updates. Quando o Dependabot desativa automaticamente as Dependabot updates, há:

  • Nenhuma criação de pull requests para atualizações de versão e de segurança.
  • Nenhuma troca de base de pull requests do Dependabot para repositórios inativos.

Note

A desativação automática das atualizações do Dependabot se aplica somente a repositórios em que Dependabot abriu solicitações de pull, mas elas permanecem intocadas. Se o Dependabot não tiver aberto nenhuma solicitação de pull, o Dependabot nunca será pausado.

Um repositório ativo é um repositório para o qual um usuário (não o Dependabot) executou qualquer uma das ações abaixo nos últimos 90 dias:

  • Mesclou ou fechou uma pull request do Dependabot no repositório.
  • Fez uma alteração no arquivo dependabot.yml do repositório.
  • Disparou manualmente uma atualização de segurança ou uma atualização de versão.
  • Habilitou Dependabot security updates para o repositório.
  • Usou os comandos @dependabot em pull requests.

Um repositório inativo é um repositório:

  • Que tem pelo menos uma pull request Dependabot aberta por mais de 90 dias,
  • Que esteve habilitado por todo o período, e
  • Em que nenhuma das ações listadas acima foi realizada por um usuário.

Como saber se as Dependabot updates estão em pausa

Quando o Dependabot está em pausa, o GitHub adiciona um aviso na barra de notificação:

  • Em todos os pull requests de Dependabot abertos.
  • Para a interface do usuário da guia Configurações do repositório (em Análise e segurança do código, depois Dependabot).
  • Na lista de Dependabot alerts (se Dependabot security updates forem afetados).

Além disso, você poderá ver se o Dependabot está em pausa no nível da organização na visão geral de segurança. O status paused também ficará visível por meio da API. Para saber mais, confira Pontos de extremidade da API REST para repositórios.

Sobre a reativação automática de Dependabot updates

Assim que o mantenedor interagir com uma pull request do Dependabot outra vez, o Dependabot sairá da pausa por conta própria:

  • As atualizações de segurança são retomadas automaticamente para Dependabot alerts.
  • As atualizações de versão são retomadas automaticamente com o agendamento especificado no arquivo dependabot.yml.