Referência de opções do Dependabot

Informações detalhadas para todas as opções que você pode usar para personalizar como Dependabot mantém seus repositórios.

Quem pode usar esse recurso?

Users with write access

Neste artigo

Este artigo fornece informações de referência para as opções de configuração disponíveis no dependabot.yml arquivo. Use essas opções para personalizar como Dependabot monitora ecossistemas de pacotes, agenda atualizações e cria solicitações pull. Para obter uma visão geral do dependabot.yml arquivo e como ele funciona, consulte Sobre o arquivo dependabot.yml.

Todas as opções marcadas com um ícone também alteram a forma como Dependabot cria solicitações de pull para atualizações de segurança, exceto onde target-branch é usado.

Chaves necessárias

KeyLocalizaçãoPropósito
versionNível superior
          Dependabot sintaxe de configuração a ser usada. Sempre: `2`.|

| updates | Nível superior| Seção em que você define cada package-ecosystem para atualizar.| | package-ecosystem | Em updates | Defina um gerenciador de pacotes a ser atualizado. | | directories ou directory | Em cada entrada package-ecosystem | Defina o local do manifesto ou de outros arquivos de definição para atualizar. | | schedule.interval | Em cada entrada package-ecosystem | Defina se deseja procurar as atualizações de versão: daily, weekly ou monthly. |

Opcionalmente, você também pode incluir uma chave registries de nível superior para definir detalhes de acesso para registros privados, consulte Chave registries de nível superior.

YAML

# Basic `dependabot.yml` file with
# minimum configuration for two package managers

version: 2
updates:
  # Enable version updates for npm
  - package-ecosystem: "npm"
    # Look for `package.json` and `lock` files in the `root` directory
    directory: "/"
    # Check the npm registry for updates every day (weekdays)
    schedule:
      interval: "daily"

  # Enable version updates for Docker
  - package-ecosystem: "docker"
    # Look for a `Dockerfile` in the `root` directory
    directory: "/"
    # Check for updates once a week
    schedule:
      interval: "weekly"

Para obter um exemplo real de um dependabot.yml arquivo, consulte Dependaboto próprio arquivo de configuração.

          `allow`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Use para definir exatamente as dependências que devem ser mantidas para um ecossistema de pacotes. Geralmente usa-se com a opção ignore. Para ver exemplos, consulte Como controlar quais dependências são atualizadas pelo Dependabot.

          Dependabot comportamento padrão:

* Todas as dependências definidas explicitamente em um manifesto são mantidas atualizadas por atualizações de versão. * Todas as dependências definidas em arquivos de bloqueio com dependências vulneráveis são atualizadas por atualizações de segurança.

Quando allow é especificado, Dependabot usa o seguinte processo:

  1. Procure todas as dependências explicitamente permitidas.

  2. Em seguida, filtre as dependências ou versões ignoradas.

    Se uma dependência corresponder a uma instrução allow e ignore, ela será ignorada.

ParâmetrosPropósito
dependency-namePermita atualizações de dependências com nomes correspondentes, opcionalmente usando * para corresponder a zero ou mais caracteres.
dependency-typePermita atualizações de dependências de tipos específicos.
update-typesPermitir atualizações para um ou mais níveis de controle de versão semântico. Valores com suporte: version-update:semver-patch, version-update:semver-minore version-update:semver-major.

          `dependency-name` (`allow`)

Para a maioria dos gerenciadores de pacotes, você deve definir um valor que corresponderá ao nome de dependência especificado no arquivo de bloqueio ou manifesto. Alguns sistemas têm requisitos mais complexos.

Gerenciador de PacotesFormato exigidoExample
Gradle e MavengroupId:artifactIdorg.kohsuke:github-api
Docker para marcas de imagemO nome completo do repositórioPara uma marca de imagem de <account ID>.dkr.ecr.us-west-2.amazonaws.com/base/foo/bar/ruby:3.1.0-focal-jemalloc, use base/foo/bar/ruby.

          `dependency-type` (`allow`)
Tipos de dependênciaSuportado por gestores de pacotesPermitir atualizações
directAllTodas as dependências explicitamente definidas.
indirect
          `bundler`, `pip`, `composer`, `cargo`, , `gomod``uv` | Dependências de dependências diretas (também conhecidas como sub-dependências ou dependências transitivas).|

| all | All | Todas as dependências explicitamente definidas. Para bundler, pip, composer, cargo, , gomod, uvtambém as dependências de dependências diretas.| | production | bundler, composer, mix, maven, , npm, pip``uv (nem todos os gerentes) | Somente para dependências definidas pelo gerenciador de pacotes como dependências de produção. | | development| bundler, composer, mix, maven, , npm, pip``uv (nem todos os gerentes) | Somente para as dependências definidas pelo gerenciador de pacotes como as dependências de desenvolvimento. |

          `update-types` (`allow`)

          `update-types` afeta apenas as atualizações de _versão_ , não _as atualizações de segurança_.

Especifique quais versões semânticas (SemVer) permitir.

O SemVer é um padrão aceito para definir as versões de pacotes de software, no formato x.y.z. Dependabot pressupõe que as versões neste formulário são sempre major.minor.patch. O update-types valor é uma lista de uma ou mais cadeias de caracteres.

  • Use version-update:semver-patch para permitir versões de patch.
  • Use version-update:semver-minor para permitir lançamentos secundários.
  • Use version-update:semver-major para autorizar lançamentos principais.

Quando update-types é omitido de uma allow regra, todos os tipos de atualização são permitidos para essa regra.

Você pode combinar update-types com dependency-name ou dependency-type para restringir ainda mais as atualizações permitidas. Para obter exemplos de como você pode combinar essas opções, consulte Como controlar quais dependências são atualizadas pelo Dependabot.

          `assignees`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Especifique os destinatários individuais de todas as pull requests geradas para um ecossistema de pacotes. Para ver exemplos, consulte Personalizar as solicitações de pull do Dependabot para se adequarem aos seus processos.

          Dependabot comportamento padrão:
  • As pull requests são criadas sem destinatários.

Quando assignees é definido:

  •         <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-versions" aria-label="versions" role="img"><path d="M7.75 14A1.75 1.75 0 0 1 6 12.25v-8.5C6 2.784 6.784 2 7.75 2h6.5c.966 0 1.75.784 1.75 1.75v8.5A1.75 1.75 0 0 1 14.25 14Zm-.25-1.75c0 .138.112.25.25.25h6.5a.25.25 0 0 0 .25-.25v-8.5a.25.25 0 0 0-.25-.25h-6.5a.25.25 0 0 0-.25.25ZM4.9 3.508a.75.75 0 0 1-.274 1.025.249.249 0 0 0-.126.217v6.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.75 1.75 0 0 1 3 11.25v-6.5c0-.649.353-1.214.874-1.516a.75.75 0 0 1 1.025.274ZM1.625 5.533h.001a.249.249 0 0 0-.126.217v4.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.748 1.748 0 0 1 0 10.25v-4.5a1.748 1.748 0 0 1 .873-1.516.75.75 0 1 1 .752 1.299Z"></path></svg> Todos os pull requests para atualizações de versões são criados com os responsáveis escolhidos.

  •         <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield-check" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg> Todos os pull requests para atualizações de segurança são criados com os responsáveis escolhidos, a menos que `target-branch` defina atualizações para um branch não padrão.

Os responsáveis precisam ter acesso de gravação ao repositório. Para repositórios de propriedade da organização, os membros da organização com acesso de leitura também são destinatários válidos.

          `commit-message`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Defina o formato para as mensagens de confirmação. Como os títulos das pull requests são gravados com base em mensagens de confirmação, essa configuração também afeta os títulos das pull requests. Para ver exemplos, consulte Personalizar as solicitações de pull do Dependabot para se adequarem aos seus processos.

          Dependabot comportamento padrão:
  • As mensagens de confirmação seguem os padrões semelhantes aos detectados no repositório.

Quando commit-message é definido:

  •         <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-versions" aria-label="versions" role="img"><path d="M7.75 14A1.75 1.75 0 0 1 6 12.25v-8.5C6 2.784 6.784 2 7.75 2h6.5c.966 0 1.75.784 1.75 1.75v8.5A1.75 1.75 0 0 1 14.25 14Zm-.25-1.75c0 .138.112.25.25.25h6.5a.25.25 0 0 0 .25-.25v-8.5a.25.25 0 0 0-.25-.25h-6.5a.25.25 0 0 0-.25.25ZM4.9 3.508a.75.75 0 0 1-.274 1.025.249.249 0 0 0-.126.217v6.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.75 1.75 0 0 1 3 11.25v-6.5c0-.649.353-1.214.874-1.516a.75.75 0 0 1 1.025.274ZM1.625 5.533h.001a.249.249 0 0 0-.126.217v4.5c0 .09.048.173.126.217a.75.75 0 0 1-.752 1.298A1.748 1.748 0 0 1 0 10.25v-4.5a1.748 1.748 0 0 1 .873-1.516.75.75 0 1 1 .752 1.299Z"></path></svg> Todas as mensagens de confirmação seguem o padrão definido.

  •         <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield-check" aria-label="shield-check" role="img"><path d="m8.533.133 5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667l5.25-1.68a1.748 1.748 0 0 1 1.066 0Zm-.61 1.429.001.001-5.25 1.68a.251.251 0 0 0-.174.237V7c0 1.36.275 2.666 1.057 3.859.784 1.194 2.121 2.342 4.366 3.298a.196.196 0 0 0 .154 0c2.245-.957 3.582-2.103 4.366-3.297C13.225 9.666 13.5 8.358 13.5 7V3.48a.25.25 0 0 0-.174-.238l-5.25-1.68a.25.25 0 0 0-.153 0ZM11.28 6.28l-3.5 3.5a.75.75 0 0 1-1.06 0l-1.5-1.5a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215l.97.97 2.97-2.97a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg> Todas as mensagens de confirmação seguem o padrão definido, a menos que `target-branch` defina atualizações para um branch não padrão.
ParâmetrosPropósito
prefixDefine um prefixo para todas as mensagens de confirmação e títulos de pull request.
prefix-developmentEm sistemas com suporte, define um prefixo diferente a ser usado para confirmações que atualizam dependências no grupo de dependências de desenvolvimento.
includeSiga o prefixo da mensagem de confirmação com informações adicionais.

Dica

Quando as pull requests são geradas para as atualizações agrupadas, o nome da ramificação e o título da pull request são definidos pelo grupo IDENTIFIER, consulte groups.

prefix

  • Usado para todas as mensagens de confirmação, a menos que prefix-development também seja definido.
  • O valor pode ter até 50 caracteres.
  •         Dependabot insere dois-pontos após o prefixo antes de adicionar a mensagem de confirmação principal quando o valor termina com uma letra, número, parênteses de fechamento ou colchete de fechamento.
  • Termine o valor com um caractere de espaço em branco para impedir que seja adicionado um caractere de dois-pontos.

prefix-development

Com suporte em: bundler, , composer, mix, maven, npm, pipe uv.

  • Usado somente para mensagens de confirmação que atualizam dependências no grupo de dependências de desenvolvimento.
  • Caso contrário, o parâmetro se comporta exatamente como o parâmetro prefix.

include

  • Compatível apenas com o valor scope
  • Quando definido, qualquer prefixo é seguido pelo tipo de dependências atualizadas no confirmação: deps ou deps-dev.

          `cooldown`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>

Define um período de resfriamento para atualizações de dependência, permitindo que as atualizações sejam atrasadas por um número configurável de dias. A cooldown opção só está disponível para atualizações de versão , não para atualizações de segurança .

Esse recurso permite que os usuários personalizem a frequência Dependabot com que geram novas atualizações de versão, oferecendo maior controle sobre a frequência de atualização. Para ver exemplos, consulte Otimizando a criação de pull requests para atualizações de versão do Dependabot.

          Dependabot comportamento padrão:
  • Verifique se há atualizações de acordo com o agendamento definido por meio de schedule.interval.
  • Considere todas as novas versões imediatamente para atualizações.

Quando cooldown é definido:

  1.        Dependabot verifica se há atualizações de acordo com as configurações definidas `schedule.interval` .

  2.        Dependabot verifica se há configurações de resfriamento.
  3. Se a nova versão de uma dependência estiver dentro de seu período de resfriamento, Dependabot ignorará a atualização da versão para essa dependência.
  4. As dependências sem um período de resfriamento ou após o período de resfriamento são atualizadas para a versão mais recente de acordo com a definição versioning-strategy configurada.
  5. Depois que um resfriamento termina para uma dependência, Dependabot retoma a atualização da dependência seguindo a estratégia de atualização padrão definida em dependabot.yml.

          **Configuração de `cooldown`**

Você pode especificar a duração do resfriamento usando as opções abaixo.

ParâmetroDescription
default-days
          **Período de resfriamento padrão para dependências** sem regras específicas (opcional). |

| semver-major-days | Período de resfriamento para atualizações de versão principais (opcional, aplica-se somente aos gerenciadores de pacotes que dão suporte ao SemVer). | | semver-minor-days | Período de resfriamento para atualizações de versão secundárias (opcional, aplica-se somente aos gerenciadores de pacotes que dão suporte ao SemVer). | | semver-patch-days | Período de resfriamento para atualizações de versão de patch (opcional, aplica-se somente aos gerenciadores de pacotes que dão suporte ao SemVer). | | include | Lista de dependências para aplicar o resfriamento (até 150 itens). Dá suporte a curingas (*). | | exclude | Lista de dependências excluídas do resfriamento (até 150 itens). Dá suporte a curingas (*). |

A tabela a seguir mostra os gerenciadores de pacotes para os quais o SemVer tem suporte.

Gerenciador de PacotesSemVer com suporte
Bazel
Bundler
Bun
Cargo
Composer
Devcontainers
Docker
Docker Compose
SDK do Dotnet
Elm
GitHub Actions
Gitsubmodule
Gomod (Módulos Go)
Gradle
Helm
Hex (Hexadecimal)
Julia
Maven
NPM e Yarn
NuGet
OpenTofu
Pip
Pub
Swift
Terraform
UV

Observação

  • Se semver-major-days, semver-minor-days ou semver-patch-days não estiverem definidas, as configurações de default-days terão precedência para atualizações baseadas em resfriamento.
  • A lista exclude sempre tem precedência sobre a lista include. Se uma dependência for especificada em ambas as listas, ela será excluída do resfriamento e será atualizada imediatamente.

          `directories` ou `directory`<svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg><svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

          **Opção obrigatória**. Use para definir o local dos manifestos do pacote para cada gerenciador de pacotes (por exemplo, _package.json_ ou _Gemfile_). Sem essas informações Dependabot , não é possível criar solicitações de pull para atualizações de versão. Para obter exemplos, consulte [Definir vários locais para arquivos de manifesto](/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#defining-multiple-locations-for-manifest-files).

  • Use directory para definir apenas um diretório de manifestos.

  • Use directories para definir uma lista de vários diretórios de manifestos.

  • Defina diretórios relativos à raiz do repositório para a maioria dos gerenciadores de pacotes.

  • Para GitHub Actions, use o valor /. Dependabot pesquisará o /.github/workflows diretório, bem como o action.yml/action.yaml arquivo do diretório raiz.

Se você precisar usar mais de um bloco no arquivo de configuração para definir atualizações para apenas uma ramificação de destino de um ecossistema, precisará garantir que todos os valores sejam exclusivos e que não haja sobreposição nos diretórios definidos.

Observação

A chave directories suporta recurso de curinga e o caractere curinga *. Esses recursos não são compatíveis com a chave directory.

          `enable-beta-ecosystems`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates only" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>

Não estão em uso.

          `groups`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Defina regras para criar um ou mais conjuntos de dependências gerenciados por um gerenciador de pacotes, para agrupar atualizações em menos pull requests direcionadas. Para ver exemplos, consulte Otimizando a criação de pull requests para atualizações de versão do Dependabot.

          Dependabot comportamento padrão:
  • Abra apenas uma pull request para cada dependência que precisa ser atualizada para uma versão mais recente para atualizações de versão e para atualizações de segurança.

Quando groups é usado para definir regras:

  • Todas as atualizações de dependências que correspondem a uma regra são combinadas em uma única pull request.
  • Se uma dependência corresponder a mais de uma regra, ela será incluída no primeiro grupo a que corresponder.
  • As dependências desatualizadas que não correspondem a uma regra são atualizadas em pull requests individuais.
ParâmetrosPropósito
IDENTIFIERDefina um identificador para o grupo usar em nomes de ramificação e títulos de pull request. Isso deve iniciar e terminar com uma letra e pode conter letras, barras verticais |, sublinhados _ ou hifens -.
applies-toEspecifique a qual tipo de atualização o grupo se aplica. Quando não definido, o valor padrão é atualizações de versão. Valores com suporte: version-updates ou security-updates.
dependency-typeLimite o grupo a um tipo. Valores com suporte: development ou production.
exclude-patternsDefina um ou mais padrões para excluir as dependências do grupo.
group-byAgrupar atualizações em vários diretórios. Valor compatível: dependency-name.
patternsDefina um ou mais padrões para incluir dependências com nomes correspondentes.
update-typesLimite o grupo a um ou mais níveis de controle de versão semântico. Valores com suporte: minor, patche major.

          `dependency-type` (`groups`)

Compatível com: bundler, composer, mix, maven, npm e pip.

Por padrão, um grupo incluirá todos os tipos de dependências.

  • Use development para incluir apenas dependências no "Grupo de dependências de desenvolvimento".
  • Use production para incluir apenas dependências no "Grupo de dependências de produção".

          `group-by` (`groups`)

Use groups.<group-name>.group-by para especificar como Dependabot agrupar atualizações em vários diretórios em um monorepo.

  •         **Tipo:** String

  •         **Valores aceitos:**`dependency-name`

  •         **Aplica-se a:** Configurações com vários diretórios especificados

Quando definido como dependency-name, Dependabot criará uma única solicitação de pull para cada atualização de dependência em todos os diretórios especificados, em vez de solicitações de pull separadas por diretório.

          **Limitações do agrupamento entre diretórios**

Ao usar group-by: dependency-name:

  • Todos os diretórios devem usar o mesmo ecossistema de pacotes (por exemplo, todos npm ou todos bundler)
  • Aplica-se somente a atualizações de versão
  • Se os diretórios tiverem restrições de versão incompatíveis para uma dependência, Dependabot criará solicitações de pull separadas

Para obter exemplos que mostram o uso de group-by, consulte Otimizando a criação de pull requests para atualizações de versão do Dependabot.

          `patterns` e `exclude-patterns` (`groups`)

As duas opções são compatíveis com o uso de * como um curinga para definir correspondências com nomes de dependência. Se uma dependência corresponder a um padrão e a um padrão de exclusão, ela será excluída do grupo.

          `update-types` (`groups`)

Por padrão, um grupo incluirá as atualizações de todas as versões semânticas (SemVer). O SemVer é um padrão aceito para definir as versões de pacotes de software, no formato x.y.z. O Dependabot pressupõe que as versões nesse formulário são sempre major.minor.patch.

  • Use patch para incluir versões de patch.
  • Use minor para incluir versões secundárias.
  • Use major para incluir versões principais.

Para ver exemplos, consulte Como controlar quais dependências são atualizadas pelo Dependabot.

          `ignore`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Use com a opção allow para definir exatamente as dependências que devem ser mantidas para um ecossistema de pacotes. Dependabot verifica todas as dependências permitidas e filtra todas as dependências ou versões ignoradas. Portanto, uma dependência que corresponda a um permitir e um ignorar será ignorada. Para ver exemplos, consulte Como controlar quais dependências são atualizadas pelo Dependabot.

          Dependabot comportamento padrão:

* Todas as dependências definidas explicitamente em um manifesto são mantidas atualizadas por atualizações de versão. * Todas as dependências definidas em arquivos de bloqueio com dependências vulneráveis são atualizadas por atualizações de segurança.

Quando ignore é usado Dependabot usa o seguinte processo:

  1. Procure todas as dependências explicitamente permitidas.

  2. Em seguida, filtre as dependências ou versões ignoradas.

    Se uma dependência corresponder a uma instrução allow e ignore, ela será ignorada.

ParâmetrosPropósito
dependency-nameIgnore as atualizações para dependências com nomes correspondentes, opcionalmente usando * para corresponder a zero ou mais caracteres.
versionsIgnore as versões específicas ou os intervalos de versões.
update-typesIgnore as atualizações de um ou mais níveis de controle de versão semântica. Valores com suporte: version-update:semver-patch, version-update:semver-minore version-update:semver-major.

          `dependency-name` (`ignore`)

Para a maioria dos gerenciadores de pacotes, você deve definir um valor que corresponderá ao nome de dependência especificado no arquivo de bloqueio ou manifesto. Alguns sistemas têm requisitos mais complexos.

Gerenciador de PacotesFormato exigidoExample
Gradle e MavengroupId:artifactIdorg.kohsuke:github-api
Docker para marcas de imagemO nome completo do repositórioPara uma marca de imagem de <account ID>.dkr.ecr.us-west-2.amazonaws.com/base/foo/bar/ruby:3.1.0-focal-jemalloc, use base/foo/bar/ruby.

          `versions` (`ignore`)

Use para ignorar versões específicas ou intervalos de versões. Caso deseje definir um intervalo, use o padrão do gerenciador de pacotes. Por exemplo:

  • npm: usar ^1.0.0
  • Empacotador: use ~> 2.0
  • Docker: use a sintaxe de versão do Bundler
  • NuGet: utilizar 7.*
  • Maven: usar [1.4,)

Para ver exemplos, consulte Como controlar quais dependências são atualizadas pelo Dependabot.

          `update-types` (`ignore`)

Especifique as versões semânticas (SemVer) que devem ser ignoradas O SemVer é um padrão aceito para definir as versões de pacotes de software, no formato x.y.z. Dependabot pressupõe que as versões neste formulário são sempre major.minor.patch.

  • Use version-update:semver-patch para incluir versões de patch.
  • Use version-update:semver-minor para incluir versões secundárias.
  • Use version-update:semver-major para incluir versões principais.

          `insecure-external-code-execution`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Compatível com: bundler, mix e pip.

Permitir Dependabot executar código externo no manifesto durante as atualizações. Para obter exemplos, consulte Permitir a execução de código externo.

          Dependabot comportamento padrão:
  • Quando você dá Dependabot acesso a um ou mais registros, a execução de código externo é desabilitada automaticamente para proteger seu código contra pacotes comprometidos.
  • Pode ocorrer falha nas atualizações de versão sem que seja possível executar o código.

Quando você permite insecure-external-code-execution:

  •         Dependabot executará o código no manifesto como parte do processo de atualização de versão.
  • O código tem acesso somente aos gerenciadores de pacotes nos registros associados a essa configuração updates. Não há permissão para acesso a nenhum dos registros definidos na configuração registries de nível superior.
  • Isso deve permitir que a atualização possa ser feita, mas também pode permitir que um pacote comprometido roube as credenciais ou obtenha acesso aos registros configurados.

Valor compatível: allow.

          `labels`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Especifique seus próprios rótulos para todas as pull requests geradas para um gerenciador de pacotes. Para ver exemplos, consulte Personalizar as solicitações de pull do Dependabot para se adequarem aos seus processos.

          Dependabot comportamento padrão:
  • Todas as pull requests têm um rótulo dependencies.
  • Se você definir mais de um gerenciador de pacotes, um rótulo adicional para o ecossistema ou linguagem será incluído em cada pull request. Por exemplo: java para atualizações do Gradle e submodules para atualizações de submódulo do git.
  • Se os rótulos semânticos de versão (SemVer) estiverem presentes no repositório, eles serão aplicados automaticamente para indicar o tipo de atualização de versão (majorouminor``patch).
  •         Dependabot cria esses rótulos padrão automaticamente, conforme necessário em seu repositório.

Quando labels é definido:

  • Os rótulos especificados são usados no lugar dos rótulos padrão.
  • Os rótulos SemVer (se presentes no repositório) ainda serão aplicados, além de quaisquer rótulos personalizados definidos.
  • Se qualquer uma destas etiquetas não for definida no repositório, será ignorado.
  • Você pode desabilitar todos os rótulos, incluindo os rótulos padrão, usando labels: [ ].

Se você definir essa opção, isso também afetará as solicitações de pull para atualizações de segurança nos arquivos de manifesto deste gerenciador de pacotes, a menos que você use target-branch para verificar se há atualizações de versão em um branch não padrão.

          `milestone`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Associe todas as pull requests geradas por um gerenciador de pacotes com um marco. Para ver exemplos, consulte Personalizar as solicitações de pull do Dependabot para se adequarem aos seus processos.

          Dependabot comportamento padrão:
  • Nenhum marco é usado.

Quando milestone é definido:

  • Todas as pull requests do gerenciador de pacotes são adicionadas ao marco.

Valor compatível: o identificador numérico de um marco.

Dica

Se você visualizar um marco, a parte final da URL da página, após milestone, será o identificador. Por exemplo: https://github.com/<org>/<repo>/milestone/3, consulte Visualizar o progresso do seu marco.

          `multi-ecosystem-groups`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>

Defina grupos que abrangem vários ecossistemas de pacotes para obter uma única Dependabot solicitação de pull que atualiza todos os ecossistemas de pacote com suporte. Essa abordagem ajuda a reduzir o número de solicitações de Dependabot pull recebidas e simplifica seu fluxo de trabalho de atualização de dependência.

          Dependabot comportamento padrão:
  • Crie pull requests separadas para cada ecossistema de pacotes que tem atualizações de dependência.

Quando multi-ecosystem-groups é usado:

  • As atualizações em vários ecossistemas de pacotes no mesmo grupo são combinadas em uma única pull request.
  • Os grupos têm seus próprios agendamentos e podem herdar ou substituir as configurações individuais do ecossistema.

multi-ecosystem-group

Atribua ecossistemas de pacotes individuais a um grupo de vários ecossistemas usando o parâmetro multi-ecosystem-group em sua configuração updates.

Importante

As atualizações de vários ecossistemas exigem padrões de configuração específicos e têm um comportamento de mesclagem de parâmetro exclusivo. Para obter instruções de instalação completas, exemplos de configuração e referência de parâmetro detalhada, consulte Como configurar atualizações de vários ecossistemas para Dependabot.

YAML
# Basic `dependabot.yml` file defining a multi-ecosystem-group
version: 2

multi-ecosystem-groups:
  infrastructure:
    schedule:
      interval: "weekly"

updates:
  - package-ecosystem: "docker"
    directory: "/"
    patterns: ["nginx", "redis"]
    multi-ecosystem-group: "infrastructure"

  - package-ecosystem: "terraform"
    directory: "/"
    patterns: ["aws"]
    multi-ecosystem-group: "infrastructure"


          `open-pull-requests-limit`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates only" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>

Altere o limite do número máximo de pull requests para as atualizações de versão abertas quando quiser.

          Dependabot comportamento padrão:
  • Se cinco pull requests com atualizações de versão estiverem abertas, nenhuma pull request adicional será gerada até que algumas dessas pull requests abertas sejam mescladas ou fechadas.
  • As atualizações de segurança têm um limite interno separado de dez pull requests abertas que não pode ser alterado.

Quando open-pull-requests-limit é definido:

  •         Dependabot abre solicitações de pull até o valor inteiro definido. Um valor grande pode ser definido para efetivamente remover o limite de pull requests abertos.
  • Você pode desabilitar temporariamente as atualizações de versão de um gerenciador de pacotes definindo essa opção como zero, consulte Desabilitando Dependabot version updates.

          `package-ecosystem`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates only" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
        

          **Opção obrigatória.** Defina um `package-ecosystem` elemento para cada gerenciador de pacotes que você deseja Dependabot monitorar para novas versões. O repositório também deve conter um manifesto de dependência ou um arquivo de bloqueio para cada gerenciador de pacotes, consulte [Arquivo de `dependabot.yml` exemplo](/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates#example-dependabotyml-file).
Gerenciador de PacotesValor YAMLVersões suportadas
Bazelbazelv7, v8, v9
Bunbun>=v1.2.5
Bundlerbundler
          v2 |

| Cargo | cargo | v1 | | Composer | composer | v2 | | | | Conda | conda | Não aplicável | | | | Contêineres de desenvolvimento | devcontainers | Não aplicável | | Docker | docker | v1 | | | | Docker Compose | docker-compose | v2, v3 | | | | | | SDK do .NET | dotnet-sdk | >=.NET Core 3.1 | | | | | | Gráficos Helm | helm | v3 | | | | Hex | mix | v1 | | | | Julia | julia | >=v1.10 | | | | elm-package | elm | v0.19 | | Submódulo git | gitsubmodule | Não aplicável | | GitHub Actions | github-actions | Não aplicável | | Módulos Go | gomod | v1 | | Gradle | gradle | Não aplicável | | Maven | maven | Não aplicável | | | | Flocos de Nix | nix | Não aplicável | | | | npm | npm | v7, v8, v9, v10 | | NuGet | nuget | <=6.12.0 | | | | OpenTofu | opentofu | Não aplicável | | | | pip| pip | v24.2 | | pip-compile | pip | 7.4.1 | | pipenv | pip | <= 2024,4,1 | | pnpm | npm | v7, v8
v9, v10 (somente atualizações de versão) | | poetry | pip | v2 | | | | pre-commit | pre-commit | Não aplicável | | | | pub | pub | v2 | | | | Cadeia de ferramentas do Rust | rust-toolchain | Não aplicável | | | | Swift | swift | V5 | | Terraform | terraform | >= 0,13, <= 1,10.x | | | | uv | uv | v0 | | | | | | vcpkg | vcpkg | Não aplicável | | | | yarn | npm | v1, v2, v3, v4 |

          `pull-request-branch-name.separator`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Especifique um separador para usar quando for gerar os nomes de ramificação. Para ver exemplos, consulte Personalizar as solicitações de pull do Dependabot para se adequarem aos seus processos.

          Dependabot comportamento padrão:
  • Gerar nomes de ramificação do formulário: dependabot/PACKAGE_MANAGER/DEPENDENCY

Quando pull-request-branch-name.separator é definido:

  • Use o caractere especificado no lugar de /.

Valores compatíveis: "-", _, /

Dica

O símbolo de hífen precisa vir acompanhado do caractere de escape para que ele não seja interpretado início de uma lista YAML vazia.

          `rebase-strategy`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Desabilite o rebasing automático de solicitações de pull geradas por Dependabot.

          Dependabot o comportamento padrão é rebasear solicitações de pull abertas quando Dependabot detecta quaisquer alterações em uma solicitação de pull de versão ou atualização de segurança. 
          Dependabot verifica se há alterações quando:
  • Você agenda execuções para verificar se há atualizações de versão.
  • Você reabre uma solicitação de pull fechada Dependabot.
  • Você altera o valor de target-branch no arquivo de configuração Dependabot, veja target-branch.
  • Um Dependabot pull request está em conflito após um push recente no branch de destino.

Quando rebase-strategy está definido como disabled, Dependabot interrompe o rebase de pull requests.

Observação

As pull requests que estavam abertas antes de você desabilitar o processo de efetuar rebase continuarão nesse processo de efetuar rebase até 30 dias depois de serem abertas. Isso afeta todas as pull requests que têm conflitos com a ramificação de destino e todas as pull requests para as atualizações de versão.

          `registries`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Configure o acesso a registros de pacotes privados para permitir Dependabot a atualização de uma gama mais ampla de dependências, consulte Configurando o acesso a registros privados para Dependabot e Diretrizes para a configuração de registros privados para o Dependabot.

Há 2 locais no arquivo dependabot.yml em que você pode usar a chave registries:

  1. No nível superior, em que você define os registros privados que deseja usar e suas informações de acesso, consulte Configurando o acesso a registros privados para Dependabot.

  2. Dentro dos blocos updates, em que você pode especificar quais registros privados cada gerenciador de pacotes deve usar.

           Dependabot o comportamento padrão é gerar solicitações de pull apenas para atualizar as dependências armazenadas em registros publicamente acessíveis.

Quando o Dependabot arquivo de configuração tiver uma seção de nível registries superior, definindo o acesso a um ou mais registros privados, você poderá configurar cada package-ecosystem um para usar um ou mais desses registros privados.

Quando registries é definido para um gerenciador de pacotes:

  • Cada Registro privado especificado para um gerenciador de pacotes é verificado em relação às atualizações de versão e de segurança.
  •         Dependabot usa os detalhes de acesso definidos na seção de nível `registries` superior.

Valores com suporte: REGISTRY_NAME ou "*"

          `schedule`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates only" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
        

          **Opção obrigatória.** Defina com que frequência verificar se há novas versões de cada gerenciador de pacotes que você configurou usando o parâmetro `interval`. Opcionalmente, para intervalos diários e semanais, você pode personalizar quando o Dependabot verifica se há atualizações. Para ver exemplos, consulte [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/optimizing-pr-creation-version-updates).
ParâmetrosPropósito
interval
          **Obrigatório.** Define a frequência para Dependabot. |

| day | Especifique o dia no qual executar para um intervalo semanal. | | time | Especifique o horário para a execução. | | | | cronjob | Define a expressão cron se o tipo de intervalo é cron. | | | | timezone | Especifique o fuso horário do valor time. |

interval

Valores com suporte: daily, weekly, monthly, quarterly, semiannually, yearly ou cron

Cada gerenciador de precisa definir um intervalo de agendamento.

  • Use daily para executar todos os dias da semana, de segunda à sexta-feira.
  • Use weekly para executar uma vez por semana, que é na segunda-feira por padrão.
  • Use monthly para executar no primeiro dia de cada mês.
  • Use quarterly para executar no primeiro dia de cada trimestre (janeiro, abril, julho e outubro).
  • Use semiannually para executar a cada seis meses, no primeiro dia de janeiro e de julho.
  • Use yearly para executar no primeiro dia de janeiro.
  • Use cron para a opção de agendamento baseado na expressão cron. Consulte cronjob.

Por padrão, Dependabot atribui aleatoriamente um tempo para aplicar todas as atualizações no arquivo de configuração. Você pode usar os parâmetros time e timezone para definir um runtime específico para todos os intervalos.
Se você usar um cron intervalo, poderá definir o tempo de atualização com uma cronjob expressão.

day

Valores com suporte: monday, tuesday, wednesday, thursday, friday, saturday ou sunday

Opcionalmente, execute as atualizações semanais para um gerenciador de pacotes em um dia específico da semana.

time

Formato: hh:mm

Opcionalmente, execute todas as atualizações de um gerenciador de pacotes em uma hora específica do dia. Por padrão, os horários são interpretados como UTC.

cronjob

Valores com suporte: expressão cron válida na sintaxe cron ou expressão natural.

A sintaxe cron tem cinco campos separados por um espaço, e cada campo representa uma unidade de tempo.

┌───────────── minute (0 - 59)
│ ┌───────────── hour (0 - 23)
│ │ ┌───────────── day of the month (1 - 31)
│ │ │ ┌───────────── month (1 - 12 or JAN-DEC)
│ │ │ │ ┌───────────── day of the week (0 - 6 or SUN-SAT)
│ │ │ │ │
* * * * *

Exemplos: 0 9 * * *, every day at 5pm

          `0 9 * * *` é equivalente a "todos os dias às 9h". 
          `every day at 5pm` é equivalente a `0 17 * * *`.

Observação

  • Os fusos horários devem ser especificados no timezone parâmetro e não no cronjob.
  • Um agendamento do tipo cronjob é necessário para usar um intervalo de cron.
YAML

# Basic `dependabot.yml` file for cronjob

version: 2
updates:
  # Enable version updates for npm
  - package-ecosystem: "npm"
    # Look for `package.json` and `lock` files in the `root` directory
    directory: "/"
    # Check the npm registry for updates based on `cronjob` value
    schedule:
      interval: "cron"
      cronjob: "0 9 * * *"

timezone

Especifique um fuso horário para o valor time. O fuso horário padrão é UTC.

O identificador de fuso horário precisa corresponder a um fuso horário no banco de dados mantido pela iana, consulte a Lista de fusos horários de banco de dados tz.

          `target-branch`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates only" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>

Defina uma ramificação específica para verificar se há atualizações de versão e para a qual direcionar as pull requests para as atualizações de versão. Para ver exemplos, consulte Personalizar as solicitações de pull do Dependabot para se adequarem aos seus processos.

          Dependabot comportamento padrão:

* Dependabot utiliza o branch padrão do repositório, consulte Sobre o branch padrão.

Quando target-branch é definido:

  • Somente os arquivos de manifesto na ramificação de destino são verificados quanto a atualizações de versão.
  • Todas as solicitações de pull para atualizações de versão são abertas direcionando à ramificação especificado.
  • As opções definidas para esse package-ecosystem não se aplicam mais a atualizações de segurança porque as atualizações de segurança sempre usam a ramificação padrão para o repositório.

          `exclude-paths`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates only" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>

Utilize para especificar caminhos de diretórios e arquivos que Dependabot deve ignorar ao escanear manifestos e dependências. Essa opção é útil para impedir atualizações de dependências em determinados locais, como ativos de teste, código fornecedor ou arquivos específicos.

          Dependabot comportamento padrão:
  • Todos os diretórios e arquivos no directory especificado são incluídos na verificação de atualização, a menos que sejam excluídos por essa opção.

Quando exclude-paths é definido:

  • Todos os arquivos e diretórios correspondentes aos caminhos especificados são ignorados durante as verificações de atualização para a entrada package-ecosystem especificada.
ParâmetroPropósito
exclude-pathsUma lista de padrões glob para arquivos ou diretórios a serem ignorados.

Há suporte para padrões Glob, como ** para correspondência recursiva e * para curingas de segmento único. Os padrões são relativos ao directory especificado para a configuração de atualização. Cada ecossistema pode ter suas próprias configurações exclude-paths.

Example

YAML
version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    exclude-paths:
      - "src/test/assets"
      - "vendor/**"
      - "src/*.js"
      - "src/test/helper.js"

# Sample patterns that can be used-

# Pattern: docs/*.json
# Matches: docs/foo.json, docs/bar.json

# Pattern: *.lock
# Matches: Gemfile.lock, package.lock, foo.lock (in any directory)

# Pattern: test/**
# Matches: test/foo.rb, test/bar/baz.rb, test/any/depth/file.txt

# Pattern: config/settings.yml
# Matches: config/settings.yml

# Pattern: **/*.md
# Matches: README.md, docs/guide.md, any/depth/file.md

# Pattern: src/*
# Matches: src/main.rb, src/app.js
# Does NOT match: src/utils/helper.rb

# Pattern: hidden/.*
# Matches: hidden/.env, hidden/.secret

Neste exemplo, Dependabot ignorará o src/test/assets diretório, todos os arquivos em vendor/, todos os arquivos JavaScript diretamente em src/e o arquivo src/test/helper.js específico ao verificar se há atualizações.

          `vendor`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Compatível com: somente bundler e gomod.

Informe Dependabot para manter suas dependências de fornecedores, além das dependências definidas por arquivos de manifesto. Uma dependência é descrita como "de fornecedor" ou "armazenada em cache" quando você armazena o código em seu repositório, consulte a bundle cache documentação e go mod vendor documentação.

Para ver exemplos, consulte Como controlar quais dependências são atualizadas pelo Dependabot.

          Dependabot comportamento padrão:
  • Mantenha apenas as dependências registradas nos arquivos de manifesto e bloqueio identificados para o Bundler.
  • Gere as pull requests de atualização de versão e segurança que atualizem os números de versão registrados nos arquivos de manifesto e bloqueio.
  • Para os módulos Go, todas as dependências de fornecedores são automaticamente identificadas e mantidas como se vendor estivesse habilitado.

Quando vendor está habilitado:

  •         Dependabot também mantém dependências para o Bundler que são armazenadas no  `_vendor/cache_` diretório no repositório.
  • Às vezes, as pull requests contêm atualizações para uma dependência armazenada no repositório.

Valores com suporte: true ou false

          `versioning-strategy`
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-versions" aria-label="Version updates" role="img"><path d="M10 22a2 2 0 0 1-2-2V4a2 2 0 0 1 2-2h11a2 2 0 0 1 2 2v16a2 2 0 0 1-2 2Zm-.5-2a.5.5 0 0 0 .5.5h11a.5.5 0 0 0 .5-.5V4a.5.5 0 0 0-.5-.5H10a.5.5 0 0 0-.5.5ZM6.17 4.165a.75.75 0 0 1-.335 1.006c-.228.114-.295.177-.315.201a.035.035 0 0 0-.008.016.423.423 0 0 0-.012.112v13c0 .07.008.102.012.112a.03.03 0 0 0 .008.016c.02.024.087.087.315.201a.749.749 0 1 1-.67 1.342c-.272-.136-.58-.315-.81-.598C4.1 19.259 4 18.893 4 18.5v-13c0-.393.1-.759.355-1.073.23-.283.538-.462.81-.598a.75.75 0 0 1 1.006.336ZM2.15 5.624a.75.75 0 0 1-.274 1.025c-.15.087-.257.17-.32.245C1.5 6.96 1.5 6.99 1.5 7v10c0 .01 0 .04.056.106.063.074.17.158.32.245a.75.75 0 0 1-.752 1.298C.73 18.421 0 17.907 0 17V7c0-.907.73-1.42 1.124-1.65a.75.75 0 0 1 1.025.274Z"></path></svg>
          <svg version="1.1" width="24" height="24" viewBox="0 0 24 24" class="octicon octicon-shield-check" aria-label="Security updates" role="img"><path d="M16.53 9.78a.75.75 0 0 0-1.06-1.06L11 13.19l-1.97-1.97a.75.75 0 0 0-1.06 1.06l2.5 2.5a.75.75 0 0 0 1.06 0l5-5Z"></path><path d="m12.54.637 8.25 2.675A1.75 1.75 0 0 1 22 4.976V10c0 6.19-3.771 10.704-9.401 12.83a1.704 1.704 0 0 1-1.198 0C5.77 20.705 2 16.19 2 10V4.976c0-.758.489-1.43 1.21-1.664L11.46.637a1.748 1.748 0 0 1 1.08 0Zm-.617 1.426-8.25 2.676a.249.249 0 0 0-.173.237V10c0 5.46 3.28 9.483 8.43 11.426a.199.199 0 0 0 .14 0C17.22 19.483 20.5 15.461 20.5 10V4.976a.25.25 0 0 0-.173-.237l-8.25-2.676a.253.253 0 0 0-.154 0Z"></path></svg>

Com suporte por: bundler, cargo, composer, mix, npm, pip, pub e uv

Defina como Dependabot deve editar arquivos manifestos. Para ver exemplos, consulte Como controlar quais dependências são atualizadas pelo Dependabot.

          Dependabot comportamento padrão:
  • Tente diferenciar entre as dependências de aplicativo e biblioteca.
  • Para aplicativos, sempre aumente o requisito mínimo de versão para que corresponda à nova versão. A estratégia increase.
  • Quando possível, para bibliotecas, amplie os requisitos de versão permitida para incluir as versões novas e antigas. A estratégia widen.

Quando versioning-strategy é definido, Dependabot usa a estratégia especificada.

ValueComportamento
autoComportamento padrão.
increaseSempre aumentar o requisito de versão mínima para corresponder à nova versão. Se já existir um intervalo, provavelmente só o limite inferior será aumentado.
increase-if-necessaryDeixe o requisito de versão inalterado se ele já permitir a nova versão (o Dependabot ainda atualiza a versão resolvida). Caso contrário, amplie o requisito.
lockfile-onlyCrie apenas pull requests para atualizar arquivos de bloqueio. Ignora quaisquer novas versões que exigiriam mudanças de manifesto do pacote.
widenAmpliar os requisitos de versão permitida para incluir versões novas e antigas, quando possível. Normalmente, isso só aumenta o requisito máximo de versão permitido.

Por exemplo, se a versão atual for 1.0.0 e a restrição atual for ^1.0.0, as diversas estratégias gerarão as seguintes atualizações:

Nova versão 1.2.0

  •         `increase`: nova restrição `^1.2.0`

  •         `increase-if-necessary`: nova restrição `^1.0.0`

  •         `widen`: nova restrição `^1.0.0`

Nova versão 2.0.0

  •         `increase`: nova restrição `^2.0.0`

  •         `increase-if-necessary`: nova restrição `^2.0.0`

  •         `widen`: nova restrição `>=1.0.0 <3.0.0`

Observação

Se o gerenciador de pacotes que você usa ainda não der suporte à configuração do parâmetro versioning-strategy ou não oferecer suporte a um valor necessário, o código de estratégia será código aberto, portanto, se você quiser que um ecossistema específico dê suporte a uma nova estratégia, você sempre será bem-vindo a enviar uma solicitação de pull em https://github.com/dependabot/dependabot-core/.

Marcas de controle de versão

  • Representam as etapas no ciclo de vida da versão de software, como as versões alfa, beta e estável.
  • Permitem que os editores distribuam os respectivos pacotes com mais eficiência.
  • Indicam a estabilidade de uma versão e informam o que os usuários devem esperar em termos de recursos e estabilidade.

O Dependabot reconhece uma variedade de marcas de controle de versão para pré-lançamentos, versões estáveis e marcas personalizadas em diferentes ecossistemas.

O arquivo dependabot.yml não controla as marcas de controle de versão que você pode usar, mas você pode definir nas opções de configuração, como ignore, as marcas de controle de versão com suporte para as quais deseja ignorar as atualizações.

Marcas de controle de versão com suporte

| Gerenciador de Pacotes | Valor do YAML | Marcas com suporte | Exemplos | |---------------------|----------------|--------------------|--------------| | Maven | maven | alpha, a, beta, b, milestone, m, rc, cr, sp, ga, final, release, snapshot | [email protected], [email protected] | | npm | npm | alpha, beta, canary, dev, experimental, latest, legacy, next, nightly, rc, release, stable | lodash@beta react@latest express@next | | pnpm | npm | alpha, beta, canary, dev, experimental, latest, legacy, next, nightly, rc, release, stable | [email protected] react@alpha vue@next | | yarn | npm | alpha, beta, canary, dev, experimental, latest, legacy, next, nightly, rc, release, stable | [email protected] axios@latest moment@nightly |

Glossário de marcas de controle de versão

  •         **
        `alpha`:** versão inicial; pode ser instável e ter recursos incompletos.

  •         **
        `beta`:** mais estável que a alfa, mas talvez ainda contenha bugs.

  •         **
        `canary`:** versão de pré-lançamento atualizada regularmente para testagem.

  •         **
        `dev`:** representa versões de desenvolvimento.

  •         **
        `experimental`:** versões com recursos experimentais.

  •         **
        `latest`:** versão estável mais recente.

  •         **
        `legacy`:** versões mais antigas ou preteridas.

  •         **
        `next`:** versão de lançamento futuro.

  •         **
        `nightly`:** versões com builds noturnos; geralmente inclui as alterações mais recentes.

  •         **
        `rc`:** versão Release Candidate; próxima à versão estável.

  •         **
        `release`:** a versão de lançamento oficial.

  •         **
        `stable`:** a versão mais confiável e pronta para a produção.

Chave registries de nível superior

Especifique os detalhes de autenticação que Dependabot pode usar para acessar registros de pacote privado, incluindo registros hospedados pelo GitLab ou pelo Bitbucket.

O valor da chave registries é uma matriz associativa, e cada elemento dele consiste de uma chave que identifica determinado registro particular e um valor que é uma matriz associativa que especifica as configurações necessárias para acessar esse registro. O arquivo dependabot.yml a seguir configura um registro identificado como dockerhub na seção registries do arquivo e referencia isso na seção updates do arquivo.

YAML
# Minimal settings to update dependencies stored in one private registry

version: 2
registries:
  dockerhub: # Define access for a private registry
    type: docker-registry
    url: registry.hub.docker.com
    username: octocat
    password: ${{secrets.DOCKERHUB_PASSWORD}}
updates:
  - package-ecosystem: "docker"
    directory: "/docker-registry/dockerhub"
    registries:
      - dockerhub # Allow version updates for dependencies in this registry
    schedule:
      interval: "monthly"

Você utiliza as seguintes opções para especificar as configurações de acesso. As configurações do registro precisam conter um type e uma url e, normalmente, uma combinação de username e password ou um token.

ParâmetrosFinalidade
REGISTRY_NAMEObrigatório: define um identificador para o registro.
typeObrigatório: identifica o tipo de registro.
Detalhes de autenticaçãoObrigatório: os parâmetros com suporte para fornecer detalhes de autenticação variam para registros de diferentes tipos.
urlObrigatório: a URL a ser usada para acessar as dependências deste registro. O protocolo é opcional. Se não for especificado, https:// é assumido. Dependabot adiciona ou ignora barras à direita, conforme necessário.
replaces-baseSe o valor booliano for true, Dependabot resolverá as dependências usando a URL base especificada url e não a URL base desse ecossistema.

Para obter informações detalhadas sobre as opções disponíveis, bem como recomendações e conselhos ao configurar registros privados, confira Diretrizes para a configuração de registros privados para o Dependabot.

          `type` e detalhes de autenticação

Os parâmetros usados para fornecer os detalhes de autenticação para acesso a um Registro privado variam de acordo com o Registro type.

Registro typeParâmetros de autenticação necessários
cargo-registrytoken
composer-repository
          `username` e `password`<br>ou OIDC com `tenant-id` e `client-id` |

| docker-registry | username e password
ou OIDC com tenant-id e client-id | | git | username e password
ou OIDC com tenant-id e client-id | | hex-organization | organization e key | | hex-repository | repo e auth-key, opcionalmente, com public-key-fingerprint correspondente | | maven-repository | username e password
ou OIDC com tenant-id e client-id | | npm-registry | username e password
ou token
ou OIDC com tenant-id e client-id | | nuget-feed | username e password
ou token
ou OIDC com tenant-id e client-id | | pub-registry | token | | python-index | username e password
ou token
ou OIDC com tenant-id e client-id | | rubygems-server | username e password
ou token
ou OIDC com tenant-id e client-id | | terraform-registry | token |

Todos os dados confidenciais usados para autenticação devem ser armazenados com segurança e referenciados desse local seguro; consulte Configurando o acesso a registros privados para Dependabot.

Dica

Se a conta for uma conta GitHub, você poderá usar um GitHub personal access token no lugar da senha.

Para obter mais informações sobre o suporte do OIDC para Dependabot, consulte OpenID Connect e Configurando o acesso a registros privados para Dependabot.

          `url` e `replaces-base`

O parâmetro url define onde acessar um Registro. Quando o parâmetro opcional replaces-base está habilitado (true), Dependabot resolve as dependências usando o valor de url em vez do URL base desse ecossistema específico.