Ferramentas avançadas do Dependabot

[charlesribeiro]

Escrevi, depois da última aula do dia 2 de setembro, este pequeno artigo no medium

https://medium.com/@charles.ribeiro/advanced-github-dependabot-settings-for-web-projects-a7416eaaf422

Nele, eu faço uma POC em que eu mostro que é possível usar o dependabot para criar PRs automáticos (inclusive com marcações de revisores automática) de correções de segurança, além de adicionar as labels adequadas. Isto é possível de ser feito inclusive em projetos antigos, o que mostro no meu artigo.

O que acham de adicionar esta mesma feature no nosso projeto e automatizar de vez as atualizações de segurança? Posso assumir essa task, ou iniciar ela e alguém pode tocar.

É essencialmente adicionar esse dependabot.yml (ou algo muito parecido) no .github

version: 2
updates:
  - package-ecosystem: "npm" # you can use 'npm' also for the case of yarn projects
    directory: "/" # Root directory, adjust if needed for monorepos
    schedule:
      interval: "daily" # Choose 'weekly', 'monthly', etc. as per your need
    assignees:
      - "YOURNAME1" # Replace with your GitHub username(s)
    reviewers:
      - "YOURNAME2" # Add other team members as needed
    labels:
      - "dependencies"
      - "yarn"
      - "automated"
    commit-message:
      prefix: "deps" # Customize this if needed (e.g., "chore", "build")
    open-pull-requests-limit: 10 # Limit the number of open PRs
    ignore:
      - dependency-name: "chalk" # Exclude specific dependencies if needed

Referência:

https://docs.github.com/en/code-security/dependabot/dependabot-version-updates/configuration-options-for-the-dependabot.yml-file

[andrewarosario]

Sensacional!! 👏👏