# Referência de opções do Dependabot Informações detalhadas para todas as opções que você pode usar para personalizar como Dependabot mantém seus repositórios. Este artigo fornece informações de referência para as opções de configuração disponíveis no `dependabot.yml` arquivo. Use essas opções para personalizar como Dependabot monitora ecossistemas de pacotes, agenda atualizações e cria solicitações pull. Para obter uma visão geral do `dependabot.yml` arquivo e como ele funciona, consulte [Sobre o arquivo dependabot.yml](/pt/code-security/concepts/supply-chain-security/about-the-dependabot-yml-file). Todas as opções marcadas com um ícone também alteram a forma como Dependabot cria solicitações de pull para atualizações de segurança, exceto onde `target-branch` é usado. ### Chaves necessárias | Key | Localização | Propósito | | --------- | -------------- | --------- | | `version` | Nível superior | | ``` Dependabot sintaxe de configuração a ser usada. Sempre: `2`.| ``` \| `updates` | Nível superior| Seção em que você define cada `package-ecosystem` para atualizar.| \| [`package-ecosystem`](#package-ecosystem-) | Em `updates` | Defina um gerenciador de pacotes a ser atualizado. | \| [ `directories` ou `directory`](#directories-or-directory--) | Em cada entrada `package-ecosystem` | Defina o local do manifesto ou de outros arquivos de definição para atualizar. | \| [`schedule.interval`](#schedule-) | Em cada entrada `package-ecosystem` | Defina se deseja procurar atualizações de versão: `daily`, , `weekly`,`monthly` , `quarterly`, `semiannually`, , `yearly`ou `cron`. | Opcionalmente, você também pode incluir uma chave `registries` de nível superior para definir detalhes de acesso para registros privados, consulte [Chave `registries` de nível superior](#top-level-registries-key). ```yaml copy # Basic `dependabot.yml` file with # minimum configuration for two package managers version: 2 updates: # Enable version updates for npm - package-ecosystem: "npm" # Look for `package.json` and `lock` files in the `root` directory directory: "/" # Check the npm registry for updates every day (weekdays) schedule: interval: "daily" # Enable version updates for Docker - package-ecosystem: "docker" # Look for a `Dockerfile` in the `root` directory directory: "/" # Check for updates once a week schedule: interval: "weekly" ``` Para obter um exemplo real de um arquivo `dependabot.yml`, consulte o próprio arquivo de configuração de [Dependabot](https://github.com/dependabot/dependabot-core/blob/main/.github/dependabot.yml). ## ``` `allow` ``` Use para definir exatamente as dependências que devem ser mantidas para um ecossistema de pacotes. Geralmente usa-se com a opção [`ignore`](#ignore--). Para ver exemplos, consulte [Como controlar quais dependências são atualizadas pelo Dependabot](/pt/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#allowing-specific-dependencies-to-be-updated). ``` Dependabot comportamento padrão: ``` * Todas as dependências definidas explicitamente em um manifesto são mantidas atualizadas por atualizações de versão. * Todas as dependências definidas em arquivos de bloqueio com dependências vulneráveis são atualizadas por atualizações de segurança. Quando `allow` é especificado, Dependabot usa o seguinte processo: 1. Procure todas as dependências explicitamente **permitidas**. 2. Em seguida, filtre as dependências ou versões **ignoradas**. Se uma dependência corresponder a uma instrução `allow` e `ignore`, ela será **ignorada**. | Parâmetros | Propósito | | ----------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | `dependency-name` | Permita atualizações de dependências com nomes correspondentes, opcionalmente usando `*` para corresponder a zero ou mais caracteres. | | `dependency-type` | Permita atualizações de dependências de tipos específicos. | | | | | `update-types` | Permitir atualizações para um ou mais níveis de controle de versão semântico. Valores com suporte: `version-update:semver-patch`, `version-update:semver-minor`e `version-update:semver-major`. | | | | ### ``` `dependency-name` (`allow`) ``` Para a maioria dos gerenciadores de pacotes, você deve definir um valor que corresponderá ao nome de dependência especificado no arquivo de bloqueio ou manifesto. Alguns sistemas têm requisitos mais complexos. | Gerenciador de Pacotes | Formato exigido | Example | | ---------------------------- | ------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------- | | Gradle e Maven | `groupId:artifactId` | `org.kohsuke:github-api` | | Docker para marcas de imagem | O nome completo do repositório | Para uma marca de imagem de `.dkr.ecr.us-west-2.amazonaws.com/base/foo/bar/ruby:3.1.0-focal-jemalloc`, use `base/foo/bar/ruby`. | ### ``` `dependency-type` (`allow`) ``` | Tipos de dependência | Suportado por gestores de pacotes | Permitir atualizações | | -------------------- | --------------------------------- | ----------------------------------------------- | | `direct` | All | Todas as dependências explicitamente definidas. | | `indirect` | | | ``` `bundler`, `pip`, `composer`, `cargo`, , `gomod``uv` | Dependências de dependências diretas (também conhecidas como sub-dependências ou dependências transitivas).| ``` \| `all` | All | Todas as dependências explicitamente definidas. Para `bundler`, `pip`, `composer`, `cargo`, `gomod` e `uv` também para as dependências de dependências diretas.| \| `production` | `bundler`, `composer`, `mix`, `maven`, , `npm`, `pip``uv` (nem todos os gerentes) | Somente para dependências definidas pelo gerenciador de pacotes como dependências de produção. | \| `development`| `bundler`, `composer`, `mix`, `maven`, , `npm`, `pip``uv` (nem todos os gerentes) | Somente para as dependências definidas pelo gerenciador de pacotes como as dependências de desenvolvimento. | ### ``` `update-types` (`allow`) `update-types` afeta apenas as atualizações de _versão_ , não _as atualizações de segurança_. ``` Especifique quais versões semânticas (SemVer) permitir. O SemVer é um padrão aceito para definir as versões de pacotes de software, no formato `x.y.z`. Dependabot pressupõe que as versões neste formulário são sempre `major.minor.patch`. O `update-types` valor é uma lista de uma ou mais cadeias de caracteres. * Use `version-update:semver-patch` para permitir versões de patch. * Use `version-update:semver-minor` para permitir lançamentos secundários. * Use `version-update:semver-major` para autorizar lançamentos principais. Quando `update-types` é omitido de uma `allow` regra, todos os tipos de atualização são permitidos para essa regra. Você pode combinar `update-types` com `dependency-name` ou `dependency-type` para restringir ainda mais as atualizações permitidas. Para obter exemplos de como você pode combinar essas opções, consulte [Como controlar quais dependências são atualizadas pelo Dependabot](/pt/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/controlling-dependencies-updated#allowing-specific-semantic-versioning-levels-for-updates). ## ``` `assignees` ``` Especifique os destinatários individuais de todas as pull requests geradas para um ecossistema de pacotes. Para ver exemplos, consulte [Personalizar as solicitações de pull do Dependabot para se adequarem aos seus processos](/pt/code-security/dependabot/dependabot-version-updates/customizing-dependabot-prs). ``` Dependabot comportamento padrão: ``` * As pull requests são criadas sem destinatários. Quando `assignees` é definido: * Todas as solicitações de pull para atualizações de versões são criadas com os responsáveis escolhidos. * Todas as solicitações de pull para atualizações de segurança são criadas com os responsáveis escolhidos, a menos que `target-branch` defina atualizações para uma ramificação não padrão. Os responsáveis precisam ter acesso de gravação ao repositório. Para repositórios de propriedade da organização, os membros da organização com acesso de leitura também são destinatários válidos. ## ``` `commit-message` ``` Defina o formato para as mensagens de confirmação. Como os títulos das pull requests são gravados com base em mensagens de confirmação, essa configuração também afeta os títulos das pull requests. Para ver exemplos, consulte [Personalizar as solicitações de pull do Dependabot para se adequarem aos seus processos](/pt/code-security/dependabot/dependabot-version-updates/customizing-dependabot-prs). ``` Dependabot comportamento padrão: ``` * As mensagens de confirmação seguem os padrões semelhantes aos detectados no repositório. Quando `commit-message` é definido: * Todas as mensagens de confirmação seguem o padrão definido. * Todas as mensagens de confirmação seguem o padrão definido, a menos que `target-branch` defina atualizações para um branch não padrão. | Parâmetros | Propósito | | -------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------- | | `prefix` | Define um prefixo para todas as mensagens de confirmação e títulos de pull request. | | `prefix-development` | Em sistemas com suporte, define um prefixo diferente a ser usado para confirmações que atualizam dependências no grupo de dependências de desenvolvimento. | | `include` | Siga o prefixo da mensagem de confirmação com informações adicionais. | > \[!TIP] > Quando as pull requests são geradas para as atualizações agrupadas, o nome da ramificação e o título da pull request são definidos pelo grupo `IDENTIFIER`, consulte [`groups`](#groups--). ### `prefix` * Usado para todas as mensagens de confirmação, a menos que `prefix-development` também seja definido. * O valor pode ter até 50 caracteres. * Dependabot insere dois-pontos após o prefixo antes de adicionar a mensagem de confirmação principal quando o valor termina com uma letra, número, parênteses de fechamento ou colchete de fechamento. * Termine o valor com um caractere de espaço em branco para impedir que seja adicionado um caractere de dois-pontos. ### `prefix-development` Com suporte em: `bundler`, , `composer`, `mix`, `maven`, `npm`, `pip`e `uv`. * Usado somente para mensagens de confirmação que atualizam dependências no grupo de dependências de desenvolvimento. * Caso contrário, o parâmetro se comporta exatamente como o parâmetro `prefix`. ### `include` * Compatível apenas com o valor `scope` * Quando definido, qualquer prefixo é seguido pelo tipo de dependências atualizadas no confirmação: `deps` ou `deps-dev`. ## ``` `cooldown` ``` Define um **período de resfriamento** para atualizações de dependência, permitindo que as atualizações sejam atrasadas por um número configurável de dias. A `cooldown` opção só está disponível para atualizações de *versão* , não para atualizações de *segurança* . Esse recurso permite que os usuários personalizem a frequência Dependabot com que geram novas atualizações de versão, oferecendo maior controle sobre a frequência de atualização. Para ver exemplos, consulte [Otimizando a criação de pull requests para atualizações de versão do Dependabot](/pt/code-security/dependabot/dependabot-version-updates/optimizing-pr-creation-version-updates#setting-up-a-cooldown-period-for-dependency-updates). ``` Dependabot comportamento padrão: ``` * Verifique se há atualizações de acordo com o agendamento definido por meio de `schedule.interval`. * Considere todas as novas versões **imediatamente** para atualizações. Quando **`cooldown`** é definido: 1. ``` Dependabot verifica se há atualizações de acordo com as configurações definidas `schedule.interval` . ``` 2. ``` Dependabot verifica se há configurações de resfriamento. ``` 3. Se a nova versão de uma dependência estiver dentro de seu período de resfriamento, Dependabot ignorará a atualização da versão para essa dependência. 4. As dependências sem um período de resfriamento ou após o período de resfriamento são atualizadas para a versão mais recente de acordo com a definição `versioning-strategy` configurada. 5. Depois que um resfriamento termina para uma dependência, Dependabot retoma a atualização da dependência seguindo a estratégia de atualização padrão definida em `dependabot.yml`. ### ``` **Configuração de `cooldown`** ``` Você pode especificar a duração do resfriamento usando as opções abaixo. | Parâmetro | Description | | -------------- | ----------- | | `default-days` | | ``` **Período de resfriamento padrão para dependências** sem regras específicas (opcional). | ``` \| `semver-major-days` | Período de resfriamento para **atualizações de versão principais** (opcional, aplica-se somente aos gerenciadores de pacotes que dão suporte ao SemVer). | \| `semver-minor-days` | Período de resfriamento para **atualizações de versão secundárias** (opcional, aplica-se somente aos gerenciadores de pacotes que dão suporte ao SemVer). | \| `semver-patch-days` | Período de resfriamento para **atualizações de versão de patch** (opcional, aplica-se somente aos gerenciadores de pacotes que dão suporte ao SemVer). | \| `include` | Lista de dependências para **aplicar o resfriamento** (até **150 itens**). Dá suporte a curingas (`*`). | \| `exclude` | Lista de dependências **excluídas do resfriamento** (até **150 itens**). Dá suporte a curingas (`*`). | A tabela a seguir mostra os gerenciadores de pacotes para os quais o SemVer tem suporte. | Gerenciador de Pacotes | SemVer com suporte | | ---------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | | | | Bazel | | | | | | Bundler | | | Bun | | | Cargo | | | Composer | | | Devcontainers | | | Docker | | | Docker Compose | | | SDK do Dotnet | | | Elm | | | GitHub Actions | | | Gitsubmodule | | | Gomod (Módulos Go) | | | Gradle | | | Helm | | | Hex (Hexadecimal) | | | | | | Julia | | | | | | Maven | | | NPM e Yarn | | | NuGet | | | | | | OpenTofu | | | | | | Pip | | | Pub | | | Swift | | | Terraform | | | UV | | > \[!NOTE] > > * Se `semver-major-days`, `semver-minor-days` ou `semver-patch-days` não estiverem definidas, as configurações de `default-days` terão precedência para atualizações baseadas em resfriamento. > * A lista `exclude` sempre tem precedência sobre a lista `include`. Se uma dependência for especificada em ambas as listas, ela será **excluída do resfriamento** e será atualizada imediatamente. ## ``` `directories` ou `directory` **Opção obrigatória**. Use para definir o local dos manifestos do pacote para cada gerenciador de pacotes (por exemplo, _package.json_ ou _Gemfile_). Sem essas informações Dependabot , não é possível criar solicitações de pull para atualizações de versão. Para obter exemplos, consulte [Definir vários locais para arquivos de manifesto](/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#defining-multiple-locations-for-manifest-files). ``` * Use `directory` para definir apenas um diretório de manifestos. * Use `directories` para definir uma lista de vários diretórios de manifestos. * Defina diretórios relativos à raiz do repositório para a maioria dos gerenciadores de pacotes. * Para GitHub Actions, use o valor `/`. Dependabot pesquisará o `/.github/workflows` diretório, bem como o `action.yml/action.yaml` arquivo do diretório raiz. Se você precisar usar mais de um bloco no arquivo de configuração para definir atualizações para apenas uma ramificação de destino de um ecossistema, precisará garantir que todos os valores sejam exclusivos e que não haja sobreposição nos diretórios definidos. > \[!NOTE] > A chave `directories` suporta recurso de curinga e o caractere curinga `*`. Esses recursos não são compatíveis com a chave `directory`. ## ``` `enable-beta-ecosystems` ``` Não estão em uso. ## ``` `groups` ``` Defina regras para criar um ou mais conjuntos de dependências gerenciados por um gerenciador de pacotes, para agrupar atualizações em menos pull requests direcionadas. Para ver exemplos, consulte [Otimizando a criação de pull requests para atualizações de versão do Dependabot](/pt/code-security/dependabot/dependabot-version-updates/optimizing-pr-creation-version-updates). ``` Dependabot comportamento padrão: ``` * Abra apenas uma pull request para cada dependência que precisa ser atualizada para uma versão mais recente para atualizações de versão e para atualizações de segurança. Quando `groups` é usado para definir regras: * Todas as atualizações de dependências que correspondem a uma regra são combinadas em uma única pull request. * Se uma dependência corresponder a mais de uma regra, ela será incluída no primeiro grupo a que corresponder. * As dependências desatualizadas que não correspondem a uma regra são atualizadas em pull requests individuais. | Parâmetros | Propósito | | ------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | `IDENTIFIER` | Defina um identificador para o grupo usar em nomes de ramificação e títulos de pull request. Isso deve iniciar e terminar com uma letra e pode conter letras, barras verticais `\|`, sublinhados `_` ou hifens `-`. | | `applies-to` | Especifique a qual tipo de atualização o grupo se aplica. Quando não definido, o valor padrão é atualizações de versão. Valores com suporte: `version-updates` ou `security-updates`. | | `dependency-type` | Limite o grupo a um tipo. Valores com suporte: `development` ou `production`. | | `exclude-patterns` | Defina um ou mais padrões para excluir as dependências do grupo. | | | | | `group-by` | Agrupar atualizações em vários diretórios. Valor compatível: `dependency-name`. | | | | | `patterns` | Defina um ou mais padrões para incluir dependências com nomes correspondentes. | | `update-types` | Limite o grupo a um ou mais níveis de controle de versão semântico. Valores com suporte: `minor`, `patch`e `major`. | ### ``` `dependency-type` (`groups`) ``` Compatível com: `bundler`, `composer`, `mix`, `maven`, `npm` e `pip`. Por padrão, um grupo incluirá todos os tipos de dependências. * Use `development` para incluir apenas dependências no "Grupo de dependências de desenvolvimento". * Use `production` para incluir apenas dependências no "Grupo de dependências de produção". ### ``` `group-by` (`groups`) ``` Use `groups..group-by` para especificar como Dependabot deve agrupar atualizações em vários diretórios em um repositório único. * **Tipo:** String * **Valores aceitos:**`dependency-name` * **Aplica-se a:** Configurações com vários diretórios especificados Quando definido como `dependency-name`, Dependabot criará uma única solicitação de pull para cada atualização de dependência em todos os diretórios especificados, em vez de solicitações de pull separadas por diretório. ``` **Limitações do agrupamento entre diretórios** ``` Ao usar `group-by: dependency-name`: * Todos os diretórios devem usar o mesmo ecossistema de pacotes (por exemplo, todos `npm` ou todos `bundler`) * Aplica-se **somente a atualizações de versão** * Se os diretórios tiverem restrições de versão incompatíveis para uma dependência, Dependabot criará solicitações de pull separadas Para obter exemplos que mostram o uso de `group-by`, consulte [Otimizando a criação de pull requests para atualizações de versão do Dependabot](/pt/code-security/tutorials/secure-your-dependencies/optimizing-pr-creation-version-updates#grouping-updates-across-directories-in-a-monorepo). ### ``` `patterns` e `exclude-patterns` (`groups`) ``` As duas opções são compatíveis com o uso de `*` como um curinga para definir correspondências com nomes de dependência. Se uma dependência corresponder a um padrão e a um padrão de exclusão, ela será excluída do grupo. ### ``` `update-types` (`groups`) ``` Por padrão, um grupo incluirá as atualizações de todas as versões semânticas (SemVer). O SemVer é um padrão aceito para definir as versões de pacotes de software, no formato `x.y.z`. O Dependabot pressupõe que as versões nesse formulário são sempre `major.minor.patch`. * Use `patch` para incluir versões de patch. * Use `minor` para incluir versões secundárias. * Use `major` para incluir versões principais. Para ver exemplos, consulte [Como controlar quais dependências são atualizadas pelo Dependabot](/pt/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#specifying-the-semantic-versioning-level-to-ignore). ## ``` `ignore` ``` Use com a opção [`allow`](#allow--) para definir exatamente as dependências que devem ser mantidas para um ecossistema de pacotes. Dependabot verifica todas as dependências permitidas e filtra todas as dependências ou versões ignoradas. Portanto, uma dependência que corresponda a um permitir e um ignorar será ignorada. Para ver exemplos, consulte [Como controlar quais dependências são atualizadas pelo Dependabot](/pt/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#ignoring-specific-dependencies). ``` Dependabot comportamento padrão: ``` * Todas as dependências definidas explicitamente em um manifesto são mantidas atualizadas por atualizações de versão. * Todas as dependências definidas em arquivos de bloqueio com dependências vulneráveis são atualizadas por atualizações de segurança. Quando `ignore` é usado Dependabot usa o seguinte processo: 1. Procure todas as dependências explicitamente **permitidas**. 2. Em seguida, filtre as dependências ou versões **ignoradas**. Se uma dependência corresponder a uma instrução `allow` e `ignore`, ela será **ignorada**. | Parâmetros | Propósito | | ----------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | `dependency-name` | Ignore as atualizações para dependências com nomes correspondentes, opcionalmente usando `*` para corresponder a zero ou mais caracteres. | | `versions` | Ignore as versões específicas ou os intervalos de versões. | | `update-types` | Ignore as atualizações de um ou mais níveis de controle de versão semântica. Valores com suporte: `version-update:semver-patch`, `version-update:semver-minor`e `version-update:semver-major`. | ### ``` `dependency-name` (`ignore`) ``` Para a maioria dos gerenciadores de pacotes, você deve definir um valor que corresponderá ao nome de dependência especificado no arquivo de bloqueio ou manifesto. Alguns sistemas têm requisitos mais complexos. | Gerenciador de Pacotes | Formato exigido | Example | | ---------------------------- | ------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------- | | Gradle e Maven | `groupId:artifactId` | `org.kohsuke:github-api` | | Docker para marcas de imagem | O nome completo do repositório | Para uma marca de imagem de `.dkr.ecr.us-west-2.amazonaws.com/base/foo/bar/ruby:3.1.0-focal-jemalloc`, use `base/foo/bar/ruby`. | ### ``` `versions` (`ignore`) ``` Use para ignorar versões específicas ou intervalos de versões. Caso deseje definir um intervalo, use o padrão do gerenciador de pacotes. Por exemplo: * npm: usar `^1.0.0` * Empacotador: use `~> 2.0` * Docker: use a sintaxe de versão do Bundler * NuGet: utilizar `7.*` * Maven: usar `[1.4,)` Para ver exemplos, consulte [Como controlar quais dependências são atualizadas pelo Dependabot](/pt/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#ignoring-specific-versions-or-ranges-of-versions). ### ``` `update-types` (`ignore`) ``` Especifique as versões semânticas (SemVer) que devem ser ignoradas O SemVer é um padrão aceito para definir as versões de pacotes de software, no formato `x.y.z`. Dependabot pressupõe que as versões neste formulário são sempre `major.minor.patch`. * Use `version-update:semver-patch` para incluir versões de patch. * Use `version-update:semver-minor` para incluir versões secundárias. * Use `version-update:semver-major` para incluir versões principais. ## ``` `insecure-external-code-execution` ``` Compatível com: `bundler`, `mix` e `pip`. Permitir Dependabot executar código externo no manifesto durante as atualizações. Para obter exemplos, consulte [Permitir a execução de código externo](/pt/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configuring-access-to-private-registries-for-dependabot#allowing-external-code-execution). ``` Dependabot comportamento padrão: ``` * Quando você dá Dependabot acesso a um ou mais registros, a execução de código externo é desabilitada automaticamente para proteger seu código contra pacotes comprometidos. * Pode ocorrer falha nas atualizações de versão sem que seja possível executar o código. Quando você permite `insecure-external-code-execution`: * Dependabot executará o código no manifesto como parte do processo de atualização de versão. * O código tem acesso somente aos gerenciadores de pacotes nos registros associados a essa configuração `updates`. Não há permissão para acesso a nenhum dos registros definidos na configuração `registries` de nível superior. * Isso deve permitir que a atualização possa ser feita, mas também pode permitir que um pacote comprometido roube as credenciais ou obtenha acesso aos registros configurados. Valor compatível: `allow`. ## ``` `labels` ``` Especifique seus próprios rótulos para todas as pull requests geradas para um gerenciador de pacotes. Para ver exemplos, consulte [Personalizar as solicitações de pull do Dependabot para se adequarem aos seus processos](/pt/code-security/dependabot/dependabot-version-updates/customizing-dependabot-prs). ``` Dependabot comportamento padrão: ``` * Todas as pull requests têm um rótulo `dependencies`. * Se você definir mais de um gerenciador de pacotes, um rótulo adicional para o ecossistema ou linguagem será incluído em cada pull request. Por exemplo: `java` para atualizações do Gradle e `submodules` para atualizações de submódulo do git. * Se os rótulos semânticos de versão (SemVer) estiverem presentes no repositório, eles serão aplicados automaticamente para indicar o tipo de atualização de versão (`major`ou`minor``patch`). * Dependabot cria esses rótulos padrão automaticamente, conforme necessário em seu repositório. Quando `labels` é definido: * Os rótulos especificados são usados no lugar dos rótulos padrão. * Os rótulos SemVer (se presentes no repositório) ainda serão aplicados, além de quaisquer rótulos personalizados definidos. * Se qualquer uma destas etiquetas não for definida no repositório, será ignorado. * Você pode desabilitar todos os rótulos, incluindo os rótulos padrão, usando `labels: [ ]`. Se você definir essa opção, isso também afetará as solicitações de pull para atualizações de segurança nos arquivos de manifesto deste gerenciador de pacotes, a menos que você use `target-branch` para verificar se há atualizações de versão em um branch não padrão. ## ``` `milestone` ``` Associe todas as pull requests geradas por um gerenciador de pacotes com um marco. Para ver exemplos, consulte [Personalizar as solicitações de pull do Dependabot para se adequarem aos seus processos](/pt/code-security/dependabot/dependabot-version-updates/customizing-dependabot-prs). ``` Dependabot comportamento padrão: ``` * Nenhum marco é usado. Quando `milestone` é definido: * Todas as pull requests do gerenciador de pacotes são adicionadas ao marco. Valor compatível: o identificador numérico de um marco. > \[!TIP] > Se você visualizar um marco, a parte final da URL da página, após `milestone`, será o identificador. Por exemplo: `https://github.com///milestone/3`, consulte [Visualizar o progresso do seu marco](/pt/issues/using-labels-and-milestones-to-track-work/viewing-your-milestones-progress). ## ``` `multi-ecosystem-groups` ``` Defina grupos que abrangem vários ecossistemas de pacotes para obter uma única Dependabot solicitação de pull que atualiza todos os ecossistemas de pacote com suporte. Essa abordagem ajuda a reduzir o número de Dependabot solicitações de pull recebidas e simplifica seu workflow de atualização de dependência. ``` Dependabot comportamento padrão: ``` * Crie pull requests separadas para cada ecossistema de pacotes que tem atualizações de dependência. Quando `multi-ecosystem-groups` é usado: * As atualizações em vários ecossistemas de pacotes no mesmo grupo são combinadas em uma única pull request. * Os grupos têm seus próprios agendamentos e podem herdar ou substituir as configurações individuais do ecossistema. ### `multi-ecosystem-group` Atribua ecossistemas de pacotes individuais a um grupo de vários ecossistemas usando o parâmetro `multi-ecosystem-group` em sua configuração `updates`. > \[!IMPORTANT] > As atualizações de vários ecossistemas exigem padrões de configuração específicos e têm um comportamento de mesclagem de parâmetro exclusivo. Para obter instruções de instalação completas, exemplos de configuração e referência de parâmetro detalhada, consulte [Como configurar atualizações de vários ecossistemas para Dependabot](/pt/code-security/tutorials/secure-your-dependencies/configuring-multi-ecosystem-updates). ```yaml copy # Basic `dependabot.yml` file defining a multi-ecosystem-group version: 2 multi-ecosystem-groups: infrastructure: schedule: interval: "weekly" updates: - package-ecosystem: "docker" directory: "/" patterns: ["nginx", "redis"] multi-ecosystem-group: "infrastructure" - package-ecosystem: "terraform" directory: "/" patterns: ["aws"] multi-ecosystem-group: "infrastructure" ``` ## ``` `open-pull-requests-limit` ``` Altere o limite do número máximo de pull requests para as atualizações de versão abertas quando quiser. ``` Dependabot comportamento padrão: ``` * Se cinco pull requests com atualizações de versão estiverem abertas, nenhuma pull request adicional será gerada até que algumas dessas pull requests abertas sejam mescladas ou fechadas. * As atualizações de segurança têm um limite interno separado de dez pull requests abertas que não pode ser alterado. Quando `open-pull-requests-limit` é definido: * Dependabot abre solicitações de pull até o valor inteiro definido. Um valor grande pode ser definido para efetivamente remover o limite de pull requests abertos. * Você pode desabilitar temporariamente as atualizações de versão de um gerenciador de pacotes definindo essa opção como zero, consulte [Desabilitando Dependabot version updates](/pt/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates#disabling-dependabot-version-updates). ## ``` `package-ecosystem` ``` ``` **Opção obrigatória.** Defina um `package-ecosystem` elemento para cada gerenciador de pacotes que você deseja Dependabot monitorar para novas versões. O repositório também deve conter um manifesto de dependência ou um arquivo de bloqueio para cada gerenciador de pacotes, consulte [Arquivo de `dependabot.yml` exemplo](/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates#example-dependabotyml-file). ``` | Gerenciador de Pacotes | Valor YAML | Versões suportadas | | ---------------------- | ---------- | :----------------: | | | | | | Bazel | `bazel` | v7, v8, v9 | | | | | | | | | | Bun | `bun` | >=v1.2.5 | | | | | | Bundler | `bundler` | | ``` v2 | ``` \| Cargo | `cargo` | v1 | \| Composer | `composer` | v2 | \| | \| Conda | `conda` | Não aplicável | \| | \| Contêineres de desenvolvimento | `devcontainers` | Não aplicável | \| Docker | `docker` | v1 | \| | \| Docker Compose | `docker-compose` | v2, v3 | \| | \| | \| SDK .NET | `dotnet-sdk` | >=.NET Core 3.1 | \| | \| | \| Gráficos Helm | `helm` | v3 | \| | \| Hex | `mix` | v1 | \| | \| Julia | `julia` | >=v1.10 | \| | \| elm-package | `elm` | v0.19 | \| Submódulo git | `gitsubmodule` | Não aplicável | \| GitHub Actions | `github-actions` | Não aplicável | \| Módulos Go | `gomod` | v1 | \| Gradle | `gradle` | Não aplicável | \| Maven | `maven` | Não aplicável | \| | \| Flocos de Nix | `nix` | Não aplicável | \| | \| npm | `npm` | v7, v8, v9, v10 | \| NuGet | `nuget` | <=6.12.0 | \| | \| OpenTofu | `opentofu` | Não aplicável | \| | \| pip | `pip` | 24.2 | \| pip-compile | `pip` | 7.5.3 | \| pipenv | `pip` | <= 2024,4,1 | \| pnpm | `npm` | v7, v8
v9, v10 (somente atualizações de versão) | \| poetry | `pip` | v2 | \| | \| pre-commit | `pre-commit` | Não aplicável | \| | \| pub | `pub` | v2 | \| | \| Cadeia de ferramentas do Rust | `rust-toolchain` | Não aplicável | \| | \| Swift | `swift` | V5 | \| Terraform | `terraform` | >= 0,13, <= 1,10.x | \| | \| uv | `uv` | v0 | \| | \| | \| vcpkg | `vcpkg` | Não aplicável | \| | \| yarn | `npm` | v1, v2, v3, v4 | ## ``` `pull-request-branch-name.separator` ``` Especifique um separador para usar quando for gerar os nomes de ramificação. Para ver exemplos, consulte [Personalizar as solicitações de pull do Dependabot para se adequarem aos seus processos](/pt/code-security/dependabot/dependabot-version-updates/customizing-dependabot-prs). ``` Dependabot comportamento padrão: ``` * Gerar nomes de ramificação do formulário: `dependabot/PACKAGE_MANAGER/DEPENDENCY` Quando `pull-request-branch-name.separator` é definido: * Use o caractere especificado no lugar de `/`. Valores compatíveis: `"-"`, `_`, `/` > \[!TIP] > O símbolo de hífen precisa vir acompanhado do caractere de escape para que ele não seja interpretado início de uma lista YAML vazia. ## ``` `rebase-strategy` ``` Desabilite a troca de base automática de solicitações de pull geradas por Dependabot. ``` Dependabot o comportamento padrão é rebasear solicitações de pull abertas quando Dependabot detecta quaisquer alterações em uma solicitação de pull de versão ou atualização de segurança. Dependabot verifica se há alterações quando: ``` * Você agenda execuções para verificar se há atualizações de versão. * Você reabre uma solicitação de pull fechada Dependabot. * Você altera o valor de `target-branch` no arquivo de configuração Dependabot, veja [`target-branch`](#target-branch-). * Uma Dependabot solicitação de pull está em conflito após um push recente na ramificação de destino. Quando `rebase-strategy` está definido como `disabled`, Dependabot interrompe a troca de base de solicitações de pull. > \[!NOTE] > As pull requests que estavam abertas **antes** de você desabilitar o processo de efetuar rebase continuarão nesse processo de efetuar rebase até 30 dias depois de serem abertas. Isso afeta todas as pull requests que têm conflitos com a ramificação de destino e todas as pull requests para as atualizações de versão. ## ``` `registries` ``` Configure o acesso a registros de pacotes privados para permitir Dependabot a atualização de uma gama mais ampla de dependências, consulte [Configurando o acesso a registros privados para Dependabot](/pt/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configuring-access-to-private-registries-for-dependabot) e [Diretrizes para a configuração de registros privados para o Dependabot](/pt/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/guidance-for-the-configuration-of-private-registries-for-dependabot). Há 2 locais no arquivo `dependabot.yml` em que você pode usar a chave `registries`: 1. No nível superior, em que você define os registros privados que deseja usar e suas informações de acesso, consulte [Configurando o acesso a registros privados para Dependabot](/pt/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configuring-access-to-private-registries-for-dependabot). 2. Dentro dos blocos `updates`, em que você pode especificar quais registros privados cada gerenciador de pacotes deve usar. ``` Dependabot o comportamento padrão é gerar solicitações de pull apenas para atualizar as dependências armazenadas em registros publicamente acessíveis. ``` Quando o Dependabot arquivo de configuração tiver uma seção de nível `registries` superior, definindo o acesso a um ou mais registros privados, você poderá configurar cada `package-ecosystem` um para usar um ou mais desses registros privados. Quando `registries` é definido para um gerenciador de pacotes: * Cada Registro privado especificado para um gerenciador de pacotes é verificado em relação às atualizações de versão e de segurança. * Dependabot usa os detalhes de acesso definidos na seção de nível `registries` superior. Valores com suporte: `REGISTRY_NAME` ou `"*"` ## ``` `schedule` **Opção obrigatória.** Defina com que frequência verificar se há novas versões de cada gerenciador de pacotes que você configurou usando o parâmetro `interval`. Opcionalmente, para intervalos diários e semanais, você pode personalizar quando o Dependabot verifica se há atualizações. Para ver exemplos, consulte [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/optimizing-pr-creation-version-updates). ``` | Parâmetros | Propósito | | ----------------------- | --------- | | [`interval`](#interval) | | ``` **Obrigatório.** Define a frequência para Dependabot. | ``` \| [`day`](#day) | Especifique o dia no qual executar para um intervalo **semanal**. | \| [`time`](#time) | Especifique o horário para a execução. | \| | \| [`cronjob`](#cronjob) | Define a expressão cron se o tipo de intervalo é `cron`. | \| | \| [`timezone`](#timezone) | Especifique o fuso horário do valor `time`. | ### `interval` Valores com suporte: `daily`, `weekly`, `monthly`, `quarterly`, `semiannually`, `yearly` ou `cron` Cada gerenciador de **precisa** definir um intervalo de agendamento. * Use `daily` para executar todos os dias da semana, de segunda à sexta-feira. * Use `weekly` para executar uma vez por semana, que é na segunda-feira por padrão. * Use `monthly` para executar no primeiro dia de cada mês. * Use `quarterly` para executar no primeiro dia de cada trimestre (janeiro, abril, julho e outubro). * Use `semiannually` para executar a cada seis meses, no primeiro dia de janeiro e de julho. * Use `yearly` para executar no primeiro dia de janeiro. * Use `cron` para a opção de agendamento baseado na expressão cron. Consulte [`cronjob`](#cronjob). > \[!NOTE] > Os valores com suporte `quarterly`, `semiannually` e `yearly` estão disponíveis apenas na GitHub Enterprise Server a partir da versão 3.19. Por padrão, Dependabot atribui aleatoriamente um tempo para aplicar todas as atualizações no arquivo de configuração. Você pode usar os parâmetros `time` e `timezone` para definir um runtime específico para todos os intervalos.\ Se você usar um `cron` intervalo, poderá definir o tempo de atualização com uma `cronjob` expressão. ### `day` Valores com suporte: `monday`, `tuesday`, `wednesday`, `thursday`, `friday`, `saturday` ou `sunday` Opcionalmente, execute as atualizações **semanais** para um gerenciador de pacotes em um dia específico da semana. ### `time` Formato: `hh:mm` Opcionalmente, execute todas as atualizações de um gerenciador de pacotes em uma hora específica do dia. Por padrão, os horários são interpretados como UTC. ### `cronjob` Valores com suporte: expressão cron válida na sintaxe cron ou expressão natural. A sintaxe cron tem cinco campos separados por um espaço, e cada campo representa uma unidade de tempo. ```text ┌───────────── minute (0 - 59) │ ┌───────────── hour (0 - 23) │ │ ┌───────────── day of the month (1 - 31) │ │ │ ┌───────────── month (1 - 12 or JAN-DEC) │ │ │ │ ┌───────────── day of the week (0 - 6 or SUN-SAT) │ │ │ │ │ * * * * * ``` Exemplos: `0 9 * * *`, `every day at 5pm` ``` `0 9 * * *` é equivalente a "todos os dias às 9h". `every day at 5pm` é equivalente a `0 17 * * *`. ``` > \[!NOTE] > > * Os fusos horários devem ser especificados no [`timezone`](#timezone) parâmetro e não no `cronjob`. > * Um agendamento do tipo `cronjob` é necessário para usar um intervalo de `cron`. ```yaml copy # Basic `dependabot.yml` file for cronjob version: 2 updates: # Enable version updates for npm - package-ecosystem: "npm" # Look for `package.json` and `lock` files in the `root` directory directory: "/" # Check the npm registry for updates based on `cronjob` value schedule: interval: "cron" cronjob: "0 9 * * *" ``` ### `timezone` Especifique um fuso horário para o valor `time`. O fuso horário padrão é `UTC`. O identificador de fuso horário precisa corresponder a um fuso horário no banco de dados mantido pela [iana](https://www.iana.org/time-zones), consulte a [Lista de fusos horários de banco de dados tz](https://en.wikipedia.org/wiki/List_of_tz_database_time_zones). ## ``` `target-branch` ``` Defina uma ramificação específica para verificar se há atualizações de versão e para a qual direcionar as pull requests para as atualizações de versão. Para ver exemplos, consulte [Personalizar as solicitações de pull do Dependabot para se adequarem aos seus processos](/pt/code-security/dependabot/dependabot-version-updates/customizing-dependabot-prs). ``` Dependabot comportamento padrão: ``` * Dependabot utiliza o branch padrão do repositório, consulte [Sobre o branch padrão](/pt/pull-requests/collaborating-with-pull-requests/proposing-changes-to-your-work-with-pull-requests/about-branches#about-the-default-branch). Quando `target-branch` é definido: * Somente os arquivos de manifesto na ramificação de destino são verificados quanto a atualizações de versão. * Todas as solicitações de pull para atualizações de versão são abertas direcionando à ramificação especificado. * As opções definidas para esse `package-ecosystem` não se aplicam mais a atualizações de segurança porque as atualizações de segurança sempre usam a ramificação padrão para o repositório. ## ``` `exclude-paths` ``` Utilize para especificar caminhos de diretórios e arquivos que Dependabot deve ignorar ao escanear manifestos e dependências. Essa opção é útil para impedir atualizações de dependências em determinados locais, como ativos de teste, código fornecedor ou arquivos específicos. ``` Dependabot comportamento padrão: ``` * Todos os diretórios e arquivos no `directory` especificado são incluídos na verificação de atualização, a menos que sejam excluídos por essa opção. Quando `exclude-paths` é definido: * Todos os arquivos e diretórios correspondentes aos caminhos especificados são ignorados durante as verificações de atualização para a entrada `package-ecosystem` especificada. | Parâmetro | Propósito | | --------------- | ------------------------------------------------------------------------ | | `exclude-paths` | Uma lista de padrões glob para arquivos ou diretórios a serem ignorados. | Há suporte para padrões Glob, como `**` para correspondência recursiva e `*` para curingas de segmento único. Os padrões são relativos ao `directory` especificado para a configuração de atualização. Cada ecossistema pode ter suas próprias configurações `exclude-paths`. ### Example ```yaml copy version: 2 updates: - package-ecosystem: "npm" directory: "/" schedule: interval: "daily" exclude-paths: - "src/test/assets" - "vendor/**" - "src/*.js" - "src/test/helper.js" # Sample patterns that can be used- # Pattern: docs/*.json # Matches: docs/foo.json, docs/bar.json # Pattern: *.lock # Matches: Gemfile.lock, package.lock, foo.lock (in any directory) # Pattern: test/** # Matches: test/foo.rb, test/bar/baz.rb, test/any/depth/file.txt # Pattern: config/settings.yml # Matches: config/settings.yml # Pattern: **/*.md # Matches: README.md, docs/guide.md, any/depth/file.md # Pattern: src/* # Matches: src/main.rb, src/app.js # Does NOT match: src/utils/helper.rb # Pattern: hidden/.* # Matches: hidden/.env, hidden/.secret ``` Neste exemplo, Dependabot ignorará o `src/test/assets` diretório, todos os arquivos em `vendor/`, todos os arquivos JavaScript diretamente em `src/`e o arquivo `src/test/helper.js` específico ao verificar se há atualizações. ## ``` `vendor` ``` Compatível com: somente `bundler` e `gomod`. Informe Dependabot para manter suas dependências de fornecedores, além das dependências definidas por arquivos de manifesto. Uma dependência é descrita como "de fornecedor" ou "armazenada em cache" quando você armazena o código em seu repositório, consulte a [`bundle cache` documentação](https://bundler.io/man/bundle-cache.1.html) e [`go mod vendor` documentação](https://golang.org/ref/mod#go-mod-vendor). Para ver exemplos, consulte [Como controlar quais dependências são atualizadas pelo Dependabot](/pt/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#updating-vendored-dependencies). ``` Dependabot comportamento padrão: ``` * Mantenha apenas as dependências registradas nos arquivos de manifesto e bloqueio identificados para o Bundler. * Gere as pull requests de atualização de versão e segurança que atualizem os números de versão registrados nos arquivos de manifesto e bloqueio. * Para os módulos Go, todas as dependências de fornecedores são automaticamente identificadas e mantidas como se `vendor` estivesse habilitado. Quando `vendor` está habilitado: * Dependabot também mantém dependências para o Bundler que são armazenadas no `_vendor/cache_` diretório no repositório. * Às vezes, as pull requests contêm atualizações para uma dependência armazenada no repositório. Valores com suporte: `true` ou `false` ## ``` `versioning-strategy` ``` Com suporte por: `bundler`, `cargo`, `composer`, `mix`, `npm`, `pip`, `pub` e `uv` Defina como Dependabot deve editar arquivos de manifesto. Para ver exemplos, consulte [Como controlar quais dependências são atualizadas pelo Dependabot](/pt/code-security/dependabot/dependabot-version-updates/controlling-dependencies-updated#defining-a-versioning-strategy). ``` Dependabot comportamento padrão: ``` * Tente diferenciar entre as dependências de aplicativo e biblioteca. * Para aplicativos, sempre aumente o requisito mínimo de versão para que corresponda à nova versão. A estratégia `increase`. * Quando possível, para bibliotecas, amplie os requisitos de versão permitida para incluir as versões novas e antigas. A estratégia `widen`. Quando `versioning-strategy` é definido, Dependabot usa a estratégia especificada. | Value | Comportamento | | ----------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | `auto` | Comportamento padrão. | | `increase` | Sempre aumentar o requisito de versão mínima para corresponder à nova versão. Se já existir um intervalo, provavelmente só o limite inferior será aumentado. | | `increase-if-necessary` | Deixe o requisito de versão inalterado se ele já permitir a nova versão (o Dependabot ainda atualiza a versão resolvida). Caso contrário, amplie o requisito. | | `lockfile-only` | Crie apenas pull requests para atualizar arquivos de bloqueio. Ignora quaisquer novas versões que exigiriam mudanças de manifesto do pacote. | | `widen` | Ampliar os requisitos de versão permitida para incluir versões novas e antigas, quando possível. Normalmente, isso só aumenta o requisito máximo de versão permitido. | Por exemplo, se a versão atual for `1.0.0` e a restrição atual for `^1.0.0`, as diversas estratégias gerarão as seguintes atualizações: Nova versão `1.2.0` * `increase`: nova restrição `^1.2.0` * `increase-if-necessary`: nova restrição `^1.0.0` * `widen`: nova restrição `^1.0.0` Nova versão `2.0.0` * `increase`: nova restrição `^2.0.0` * `increase-if-necessary`: nova restrição `^2.0.0` * `widen`: nova restrição `>=1.0.0 <3.0.0` > \[!NOTE] > Se o gerenciador de pacotes que você usa ainda não der suporte à configuração do parâmetro `versioning-strategy` ou não oferecer suporte a um valor necessário, o código de estratégia será open source, portanto, se você quiser que um ecossistema específico dê suporte a uma nova estratégia, você sempre será bem-vindo a enviar uma solicitação de pull em . ### Marcas de controle de versão * Representam as etapas no ciclo de vida da versão de software, como as versões alfa, beta e estável. * Permitem que os editores distribuam os respectivos pacotes com mais eficiência. * Indicam a estabilidade de uma versão e informam o que os usuários devem esperar em termos de recursos e estabilidade. O Dependabot reconhece uma variedade de marcas de controle de versão para pré-lançamentos, versões estáveis e marcas personalizadas em diferentes ecossistemas. O arquivo `dependabot.yml` não controla as marcas de controle de versão que você pode usar, mas você pode definir nas opções de configuração, como [`ignore`](/pt/code-security/dependabot/working-with-dependabot/dependabot-options-reference#ignore--), as marcas de controle de versão com suporte para as quais deseja ignorar as atualizações. #### Marcas de controle de versão com suporte \| **Gerenciador de Pacotes** | **Valor do YAML** | **Marcas com suporte** | **Exemplos** | \|---------------------|----------------|--------------------|--------------| \| Maven | `maven` | `alpha, a, beta, b, milestone, m, rc, cr, sp, ga, final, release, snapshot` | `spring-security-web@5.6.0-SNAPSHOT`, `spring-core@5.2.0.RELEASE` | \| npm | `npm` | `alpha`, `beta`, `canary`, `dev`, `experimental`, `latest`, `legacy`, `next`, `nightly`, `rc`, `release`, `stable` | `lodash@beta` `react@latest` `express@next` | \| pnpm | `npm` | `alpha`, `beta`, `canary`, `dev`, `experimental`, `latest`, `legacy`, `next`, `nightly`, `rc`, `release`, `stable` | `lodash@1.2.0-alpha` `react@alpha` `vue@next` | \| yarn | `npm` | `alpha`, `beta`, `canary`, `dev`, `experimental`, `latest`, `legacy`, `next`, `nightly`, `rc`, `release`, `stable` | `lodash@1.2.0-alpha` `axios@latest` `moment@nightly` | #### Glossário de marcas de controle de versão *** ``` `alpha`:** versão inicial; pode ser instável e ter recursos incompletos. ``` *** ``` `beta`:** mais estável que a alfa, mas talvez ainda contenha bugs. ``` *** ``` `canary`:** versão de pré-lançamento atualizada regularmente para testagem. ``` *** ``` `dev`:** representa versões de desenvolvimento. ``` *** ``` `experimental`:** versões com recursos experimentais. ``` *** ``` `latest`:** versão estável mais recente. ``` *** ``` `legacy`:** versões mais antigas ou preteridas. ``` *** ``` `next`:** versão de lançamento futuro. ``` *** ``` `nightly`:** versões com builds noturnos; geralmente inclui as alterações mais recentes. ``` *** ``` `rc`:** versão Release Candidate; próxima à versão estável. ``` *** ``` `release`:** a versão de lançamento oficial. ``` *** ``` `stable`:** a versão mais confiável e pronta para a produção. ``` ## Chave `registries` de nível superior Especifique os detalhes de autenticação que Dependabot pode usar para acessar registros de pacote privado, incluindo registros hospedados pelo GitLab ou pelo Bitbucket. O valor da chave `registries` é uma matriz associativa, e cada elemento dele consiste de uma chave que identifica determinado registro particular e um valor que é uma matriz associativa que especifica as configurações necessárias para acessar esse registro. O arquivo `dependabot.yml` a seguir configura um registro identificado como `dockerhub` na seção `registries` do arquivo e referencia isso na seção `updates` do arquivo. ```yaml copy # Minimal settings to update dependencies stored in one private registry version: 2 registries: dockerhub: # Define access for a private registry type: docker-registry url: registry.hub.docker.com username: octocat password: ${{secrets.DOCKERHUB_PASSWORD}} updates: - package-ecosystem: "docker" directory: "/docker-registry/dockerhub" registries: - dockerhub # Allow version updates for dependencies in this registry schedule: interval: "monthly" ``` Você utiliza as seguintes opções para especificar as configurações de acesso. As configurações do registro precisam conter um `type` e uma `url` e, normalmente, uma combinação de `username` e `password` ou um `token`. | Parâmetros | Finalidade | | :----------------------- | :--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | `REGISTRY_NAME` | **Obrigatório:** define um identificador para o registro. | | `type` | **Obrigatório:** identifica o tipo de registro. | | Detalhes de autenticação | **Obrigatório:** os parâmetros com suporte para fornecer detalhes de autenticação variam para registros de diferentes tipos. | | `url` | **Obrigatório:** a URL a ser usada para acessar as dependências deste registro. O protocolo é opcional. Se não for especificado, `https://` é assumido. Dependabot adiciona ou ignora barras à direita, conforme necessário. | | `replaces-base` | Se o valor booliano for `true`, Dependabot resolverá as dependências usando a URL base especificada `url` e não a URL base desse ecossistema. | Para obter informações detalhadas sobre as opções disponíveis, bem como recomendações e conselhos ao configurar registros privados, confira [Diretrizes para a configuração de registros privados para o Dependabot](/pt/code-security/dependabot/working-with-dependabot/guidance-for-the-configuration-of-private-registries-for-dependabot). ### ``` `type` e detalhes de autenticação ``` Os parâmetros usados para fornecer os detalhes de autenticação para acesso a um Registro privado variam de acordo com o Registro `type`. | Registro `type` | Parâmetros de autenticação necessários | | --------------------- | -------------------------------------- | | `cargo-registry` | `token` | | `composer-repository` | | ``` `username` e `password`
ou OIDC com `tenant-id` e `client-id` | ``` \| `docker-registry` | `username` e `password`
ou OIDC com `tenant-id` e `client-id` | \| `git` | `username` e `password`
ou OIDC com `tenant-id` e `client-id` | \| `hex-organization` | `organization` e `key` | \| `hex-repository` | `repo` e `auth-key`, opcionalmente, com `public-key-fingerprint` correspondente | \| `maven-repository` | `username` e `password`
ou OIDC com `tenant-id` e `client-id` | \| `npm-registry` | `username` e `password`
ou `token`
ou OIDC com `tenant-id` e `client-id` | \| `nuget-feed` | `username` e `password`
ou `token`
ou OIDC com `tenant-id` e `client-id` | \| `pub-registry` | `token` | \| `python-index` | `username` e `password`
ou `token`
ou OIDC com `tenant-id` e `client-id` | \| `rubygems-server` | `username` e `password`
ou `token`
ou OIDC com `tenant-id` e `client-id` | \| `terraform-registry` | `token` | Todos os dados confidenciais usados para autenticação devem ser armazenados com segurança e referenciados desse local seguro; consulte [Configurando o acesso a registros privados para Dependabot](/pt/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configuring-access-to-private-registries-for-dependabot). > \[!TIP] > Se a conta for uma conta GitHub, você poderá usar um GitHub personal access token no lugar da senha. Para obter mais informações sobre o suporte do OIDC para Dependabot, consulte [OpenID Connect](/pt/actions/concepts/security/openid-connect#oidc-support-for-dependabot) e [Configurando o acesso a registros privados para Dependabot](/pt/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configuring-access-to-private-registries-for-dependabot#using-oidc-for-authentication). ### ``` `url` e `replaces-base` ``` O parâmetro `url` define onde acessar um Registro. Quando o parâmetro opcional `replaces-base` está habilitado (`true`), Dependabot resolve as dependências usando o valor de `url` em vez do URL base desse ecossistema específico.