Entrar Ainda não tem acesso?
1
resposta

Por algum motivo mesmo habilitando o Dependabot security updates, não estão gerando os pull requests dos alertas informados.

Referente ao curso DevOps: trabalhando com repositórios no GitHub, no capítulo Dependabot e atividade Automatizando atualizações de segurança

por Bruno José e Silva
| 37k xp | 6 posts
Coordenador Sistemas

Bom dia,

Preciso da ajuda de todos para entender o que está ocorrendo no meu GitHub.

1 - Eu habilitei os alertas Dependabort e eles estão chegando. 2 - Eu habilitei Dependabot Security Updates, mas os Pull Requests não estão sendo abertos.

Alguma indicação do que pode ser verificado ou feito para solucionar?

Segue evidência da minha configuração do Dependabot com as duas opções habilitadas conforme orientação da instrututora.

Insira aqui a descrição dessa imagem para ajudar na acessibilidade Percebo que ele tenta atualizar "Creating a security..." update e fazer o pullrequest mas não conclui.

Insira aqui a descrição dessa imagem para ajudar na acessibilidadeLogo depois uma mensagem de erro informa alguma coisa relacionado a configuração de lockfile no pacote package-lock.json

Insira aqui a descrição dessa imagem para ajudar na acessibilidadeSegue o log :

Insira aqui a descrição dessa imagem para ajudar na acessibilidade

1 resposta
por Renan Lima
| 3697.6k xp | 7820 posts
Alura Scuba Team Apoio Educacional - Alura

Olá Bruno.

Tudo bem?

Parece que o problema está relacionado à ausência de um arquivo de lockfile, como o package-lock.json, yarn.lock ou pnpm-lock.yaml. O Dependabot necessita de um desses arquivos para determinar a versão atual das dependências e, assim, conseguir gerar os Pull Requests de atualização de segurança.

Aqui estão alguns passos que você pode seguir para resolver esse problema:

  1. Verifique se o lockfile está presente:

    • Certifique-se de que o seu projeto possui um arquivo de lockfile (package-lock.json se você estiver usando npm, yarn.lock se estiver usando Yarn, ou pnpm-lock.yaml se estiver usando pnpm).
    • Se o arquivo não estiver presente, você pode gerá-lo executando o comando correspondente ao gerenciador de pacotes que você está usando:
      • Para npm: npm install (isso gerará um package-lock.json).
      • Para Yarn: yarn install (isso gerará um yarn.lock).
      • Para pnpm: pnpm install (isso gerará um pnpm-lock.yaml).

  2. Adicione o lockfile ao repositório:

    • Se o lockfile não estava presente e você o gerou, não se esqueça de adicioná-lo ao seu repositório:
      git add package-lock.json  # ou yarn.lock ou pnpm-lock.yaml
git commit -m "Add lockfile"
git push origin sua-branch

  3. Verifique as permissões do Dependabot:

    • Certifique-se de que o Dependabot tem as permissões necessárias para criar Pull Requests no seu repositório. Você pode verificar isso nas configurações do repositório, em "Settings" -> "Security & analysis" -> "Dependabot".

  4. Reinicie o Dependabot:

    • Às vezes, reiniciar o Dependabot pode resolver problemas temporários. Você pode desativar e reativar as atualizações de segurança do Dependabot nas configurações do repositório.

Após realizar essas verificações e ajustes, o Dependabot deve ser capaz de gerar os Pull Requests de atualização de segurança corretamente.

Veja se isso resolve. Qualquer coisa manda aqui de novo.

Espero ter ajudado e bons estudos!