Como atualizar automaticamente as dependências do seu repositório com Dependabot no Github [PT/BR]

Eduardo Florêncio — Tue, 30 Aug 2022 16:33:41 +0000

Você já sofreu com erros de dependencias desatualizadas depois de instalar o projeto?
Ou, usando Dependabot, você deixou acumular alertas de atualizações por meses?

Então aqui vai um pequeno tutorial que vai te ajudar!

Mas primeiro…

O que é o Dependabot?

De acordo com sua própria descrição, Dependabot é um bot que nos ajuda em manter as dependências dos nossos projetos atualizadas. Todo dia, ele checa se todas as dependências estão desatualizadas e abre uma PR individualmente toda vez que encontrar. Você então faz o review, o merge, e volta a trabalhar com o projeto mais seguro.

Como instalar o Dependabot no meu repositório

Dentro do seu repositório no Github, vá em:
Settings > [ Security ] > _Code security and analysis
_ e então, ative o Dependabot version updates.
Clique em Configure e então o código que você verá será mais o menos assim:

version: 2
updates:
  - package-ecosystem: npm
    directory: '/'
    schedule:
      interval: daily
      time: '02:00'
    open-pull-requests-limit: 10

Explicando o que significa, ele irá diariamente verificar as dependências as 2h00 (UTC 0).

Aqui uma configuração BONUS caso você queira alterar a branch em que ele irá abrir as PRs e/ou alterar as labels dessas PRs. Você pode inserir o código no fim do código acima.

    # BONUS
    # Raise pull requests for version updates
    # to pip against the `develop` branch
      target-branch: "dev"
    # Labels on pull requests for version updates only
          labels:
          - "dependecies"

A raiz do seu repositório irá ficar assim:

Pronto, seu projeto já está com o Dependabot configurado. Então diariamente será analisado se alguma dependência esta desatualizada.

Só tem um problema: se você não fizer o review e o merge, ele continua sendo apenas uma PR.

Como automatizar o merge do Dependabot

Com o Github Actions nós conseguimos automatizar esse processo de "mergear" as PRs criadas pelo Dependabot.

Vá para Actions dentro do repositorio Github do projeto e depois clique em New Workflow.
Existem vários modelos de Actions prontos. Você pode escolher qualquer um e então delete o conteúdo e cole esse código:

name: 'Dependabot Automerge - Action'

on:
  pull_request:

permissions:
  pull-requests: write
  issues: write

jobs:
  worker:
    runs-on: ubuntu-latest

    if: github.actor == 'dependabot[bot]'
    steps:
      - name: 'Wait for status checks'
        id: waitforstatuschecks
        uses: WyriHaximus/github-action-wait-for-status@v1.2.0
        with:
          ignoreActions: worker,WIP
          checkInterval: 60
        env:
          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}

      - name: 'Automerge'
        uses: pascalgn/automerge-action@v0.11.0
        if: steps.waitforstatuschecks.outputs.status == 'success'
        env:
          MERGE_LABELS: ''
          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
          MERGE_DELETE_BRANCH: true

Com isso, toda vez que um pull request for aberto pelo Dependabot, será verificado primeiramente se não houve nenhum conflito no projeto com a atualização dessa dependência e dar merge caso tudo esteja certo.

Seu repositório ficará assim:

Pronto, seu projeto agora atualiza todas suas dependências automaticamente!

How to autoupdate your repository dependences with Dependabot on Github

Eduardo Florêncio — Tue, 30 Aug 2022 16:13:27 +0000

Have you ever suffered from errors when installing your project's dependencies with NPM? Or, using Dependabot, did you let a bunch of dependency alerts accumulate that have been updated for months?

So I think this little tutorial will help you!

But first…

What is Dependabot?

According to its own description, Dependabot is a bot that helps you keep your dependencies up to date. Every day, it checks your dependency files for outdated requirements and opens individual PRs for any it finds. You review, merge, and get to work on the latest, most secure releases.

How to install dependabots in my repository

Inside your Github repository, go to:
Settings > [ Security ] > _Code security and analysis
_ and then, activate the “Dependabot version updates”.
click Configure and the code you will see will look like this:

version: 2
updates:
  - package-ecosystem: npm
    directory: '/'
    schedule:
      interval: daily
      time: '02:00'
    open-pull-requests-limit: 10

What is configured in this first code is that it will run daily at 2:00 am.

Here a BONUS setting if you want to change the branch it will open the PR and the label if you want to change. You can manually add them at the end of the code above.

    # BONUS
    # Raise pull requests for version updates
    # to pip against the `develop` branch
      target-branch: "dev"
    # Labels on pull requests for version updates only
          labels:
          - "dependecies"

It will be in the root of your repository like this:

Okay, your repository is already configured with Dependabot. So daily you will check if the dependencies of this project are outdated.

There's only one problem: if you don't merge it, it will continue to be just a PR.

How to automate dependabot merge

With Github Actions we were able to automate the process of merging PRs created by Dependabot.

Go to Actions inside your Github repository and then New Workflow.
There are several Actions already ready. You can choose any template and then delete all the content and paste this code:

name: 'Dependabot Automerge - Action'

on:
  pull_request:

permissions:
  pull-requests: write
  issues: write

jobs:
  worker:
    runs-on: ubuntu-latest

    if: github.actor == 'dependabot[bot]'
    steps:
      - name: 'Wait for status checks'
        id: waitforstatuschecks
        uses: WyriHaximus/github-action-wait-for-status@v1.2.0
        with:
          ignoreActions: worker,WIP
          checkInterval: 60
        env:
          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}

      - name: 'Automerge'
        uses: pascalgn/automerge-action@v0.11.0
        if: steps.waitforstatuschecks.outputs.status == 'success'
        env:
          MERGE_LABELS: ''
          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
          MERGE_DELETE_BRANCH: true

With it, every time a pull request is opened by Dependabot it will be checked if there was no conflict with the dependency update and it will merge if everything is ok.

So your repository will look like this:

Now your project updates its dependencies automatically!

References:

DEV Community: Eduardo Florêncio