Pull requests pour les mises à jour de sécurité
Si vous avez activé les mises à jour de sécurité, les requêtes de tirage pour les mises à jour de sécurité sont déclenchées par une alerte de Dependabot concernant une dépendance sur votre branche par défaut. Dependabot déclenche automatiquement une demande de tirage pour mettre à jour la dépendance vulnérable.
Chaque demande de tirage contient tout ce dont vous avez besoin pour examiner un correctif proposé et le fusionner dans votre projet rapidement et de manière sécurisée. Cela inclut des informations sur la vulnérabilité, telles que les notes de publication, les entrées du journal des modifications et les détails de commit. Les détails de la vulnérabilité qui est résolue par une demande de tirage sont masqués pour toute personne qui n’a pas accès aux Dependabot alerts pour le dépôt.
Quand vous fusionnez une demande de tirage contenant une mise à jour de sécurité, l’alerte Dependabot correspondante est marquée comme résolue pour votre dépôt. Pour plus d’informations sur les demandes de tirage Dependabot, consultez Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances.
Remarque
Une bonne pratique consiste à mettre en place des tests automatisés et des processus d’acceptation afin que les vérifications soient effectuées avant la fusion de la demande de tirage. Cette pratique est d’autant plus importante si la version suggérée vers laquelle effectuer la mise à niveau contient des fonctionnalités supplémentaires ou un changement qui casse le code de votre projet. Pour plus d’informations sur l’intégration continue, consultez « Intégration continue ».
Personnalisation des requêtes de tirage pour les mises à jour de sécurité
Vous pouvez personnaliser la façon dont Dependabot déclenche des demandes de tirage pour les mises à jour de sécurité, afin qu’elles correspondent le mieux aux priorités et processus de sécurité de votre projet. Par exemple: * Optimiser les demandes de tirage Dependabot pour hiérarchiser les mises à jour significatives en regroupant plusieurs mises à jour dans une requête de tirage unique.
- Appliquez des étiquettes personnalisées pour intégrer les demandes d’extraction de Dependabot dans vos flux de travail existants.
Comme pour les mises à jour de version, les options de personnalisation des mises à jour de sécurité sont définies dans le fichier dependabot.yml. Si vous avez déjà personnalisé le dependabot.yml pour les mises à jour de version, la plupart des options de configuration que vous avez définies peuvent également s’appliquer automatiquement aux mises à jour de sécurité. Toutefois, il existe quelques points importants à noter :
- Dependabot security updates sont toujours déclenchées par un conseil de sécurité, plutôt que d’exécuter en fonction du
scheduleque vous avez défini dans ledependabot.ymlpour les mises à jour de version. - Dependabot déclenche des demandes de tirage pour les mises à jour de sécurité par rapport à la branche par défaut uniquement. Si votre configuration définit une valeur pour
target-branch, la personnalisation de cet écosystème de packages s’applique uniquement aux mises à jour de version par défaut.
Pour plus d’informations, consultez « Personnalisation des demandes de tirage pour les mises à jour de sécurité de Dependabot ».
Pull requests pour les mises à jour de version
Pour les mises à jour de version, vous spécifiez la fréquence à laquelle vérifier chaque écosystème pour les nouvelles versions dans le fichier de configuration : quotidienne, hebdomadaire ou mensuelle.
Lorsque vous activez les mises à jour de version pour la première fois, vous pouvez avoir de nombreuses dépendances obsolètes et certaines peuvent remonter à de nombreuses versions avant la dernière version. Dependabot recherche les dépendances obsolètes dès qu’il est activé. Vous pouvez voir de nouvelles demandes de tirage pour les mises à jour de version dans les minutes qui suivent l’ajout du fichier de configuration, en fonction du nombre de fichiers manifeste pour lesquels vous configurez les mises à jour. Dependabot exécute également une mise à jour sur les modifications suivantes apportées au fichier de configuration.
Pour que les demandes de tirage restent faciles à gérer et à réviser, Dependabot déclenche un maximum de cinq demandes de tirage pour commencer à mettre les dépendances à niveau vers la version la plus récente. Si vous fusionnez certaines de ces premières demandes de tirage avant la prochaine mise à jour planifiée, les demandes de tirage restantes seront ouvertes au cours de la prochaine mise à jour, jusqu’à ce maximum. Vous pouvez modifier le nombre maximal de demandes de tirage ouvertes en définissant l’option de configuration open-pull-requests-limit.
Pour réduire davantage le nombre de demandes de tirage que vous pouvez voir, vous pouvez utiliser l’option de configuration groups pour regrouper des ensembles de dépendances (par écosystème de packages). Dependabot génère alors une seule demande de tirage pour mettre à jour simultanément autant de dépendances que possible dans le groupe vers les dernières versions. Pour plus d’informations, consultez Optimisation de la création de requêtes de tirage pour les mises à jour de version Dependabot.
Commandes pour Dependabot requêtes de tirage
Dependabot répond à des commandes simples dans les commentaires. Chaque demande de tirage contient des détails sur les commandes que vous pouvez utiliser pour la traiter (par exemple : fusionner, condenser, rouvrir, fermer ou rebaser la demande de tirage) sous la section « Commandes et options Dependabot ». L’objectif est de faciliter le tri de ces demandes de tirage automatiquement générées. Pour plus d’informations, consultez « Commandes de commentaires des pull requests Dependabot ».