{"meta":{"title":"Personalización de las pull requests de Dependabot para adaptarlas a tus procesos","intro":"Aprende a adaptar las solicitudes de cambios de Dependabot para ajustarlas mejor a tus propios flujos de trabajo internos.","product":"Seguridad y calidad del código","breadcrumbs":[{"href":"/es/code-security","title":"Seguridad y calidad del código"},{"href":"/es/code-security/tutorials","title":"Tutorials"},{"href":"/es/code-security/tutorials/secure-your-dependencies","title":"Asegura tus dependencias"},{"href":"/es/code-security/tutorials/secure-your-dependencies/customizing-dependabot-prs","title":"Personalización de PR de Dependabot"}],"documentType":"article"},"body":"# Personalización de las pull requests de Dependabot para adaptarlas a tus procesos\n\nAprende a adaptar las solicitudes de cambios de Dependabot para ajustarlas mejor a tus propios flujos de trabajo internos.\n\nHay varias maneras de personalizar las solicitudes de extracción de Dependabot para que se adapten mejor a tus procesos internos.\n\nPor ejemplo, para integrar las solicitudes de extracción de Dependabot en tus canalizaciones de CI/CD, puedes aplicar **etiquetas personalizadas** a las solicitudes de extracción, que después puedes usar para activar flujos de trabajo de acciones.\n\nHay varias opciones de personalización diferentes que se pueden usar de manera conjunta, adaptadas a cada ecosistema de paquetes.\n\n## Adición automática de usuarios asignados\n\nDe forma predeterminada, Dependabot crea solicitudes de extracción sin ningún destinatario.\n\nPara asignar automáticamente solicitudes de incorporación de cambios a un equipo de seguridad designado, puedes usar `assignees` para establecer estos valores por ecosistema de paquetes.\n\nEn el archivo de ejemplo `dependabot.yml` siguiente, se cambia la configuración de npm para que todas las solicitudes de extracción abiertas con actualizaciones de versión y seguridad para npm tengan:\n\n* Un individuo (\"`user-name`\") asignado automáticamente a las solicitudes de incorporación de cambios.\n\n```yaml copy\n# `dependabot.yml` file with\n# assignee for all npm pull requests\n\nversion: 2\nupdates:\n # Keep npm dependencies up to date\n - package-ecosystem: \"npm\"\n directory: \"/\"\n schedule:\n interval: \"weekly\"\n # Raise all npm pull requests with assignees\n assignees:\n - \"user-name\"\n```\n\n## Adición automática de revisores\n\nDe forma predeterminada, Dependabot crea solicitudes de extracción sin ningún revisor.\n\nPara asegurarte de que las actualizaciones de seguridad del proyecto se solucionan rápidamente por parte del equipo adecuado, puedes agregar automáticamente revisores a las solicitudes de cambios de Dependabot mediante un archivo CODEOWNERS. Consulta [Acerca de los propietarios de código](/es/repositories/managing-your-repositorys-settings-and-features/customizing-your-repository/about-code-owners).\n\n## Etiquetado de solicitudes de cambios con etiquetas personalizadas\n\nDe forma predeterminada, Dependabot genera pull requests con la etiqueta `dependencies`.\n\nDependabot también aplica una etiqueta del ecosistema, como `java`, `npm`o `github-actions`, a las solicitudes de incorporación de cambios. Dependabot agrega tanto la etiqueta `dependencies` como la etiqueta del ecosistema a todas las solicitudes de incorporación de cambios, incluidas las actualizaciones de un solo ecosistema, para mejorar el filtrado y la evaluación de prioridades.\n\nDependabot crea las etiquetas predeterminadas que aplica a las solicitudes de cambios si aún no existen en el repositorio. Si quiere usar etiquetas personalizadas en lugar de los valores predeterminados, puede establecer la opción `labels` en su archivo `dependabot.yml` por ecosistema de paquetes; esto sobrescribe los valores predeterminados. Para obtener más información, consulta [Administrar las etiquetas](/es/issues/using-labels-and-milestones-to-track-work/managing-labels) y [`labels`](/es/code-security/dependabot/working-with-dependabot/dependabot-options-reference#labels--).\n\nSi las etiquetas de versión semántica (SemVer) están presentes en el repositorio, Dependabot también las aplicará automáticamente para indicar el tipo de actualización de versión (`major`, `minor`o `patch`). Estas etiquetas se aplican además de las etiquetas personalizadas que defina.\n\nPuedes usar `labels` para invalidar las etiquetas predeterminadas y especificar etiquetas personalizadas propias para cada ecosistema de paquetes. Esto es útil, por ejemplo, si quieres:\n\n* Usar etiquetas para asignar una prioridad a determinadas solicitudes de cambios.\n* Usar etiquetas para desencadenar otro flujo de trabajo, como agregar automáticamente el pull request a un tablero de proyecto.\n\nEn el archivo `dependabot.yml` de ejemplo siguiente se cambia la configuración de npm para que todas las solicitudes de cambios que se hayan abierto con actualizaciones de versión y seguridad para npm tengan etiquetas personalizadas.\n\n```yaml copy\n# `dependabot.yml` file with\n# customized npm configuration\n\nversion: 2\nupdates:\n # Keep npm dependencies up to date\n - package-ecosystem: \"npm\"\n directory: \"/\"\n schedule:\n interval: \"weekly\"\n # Raise all npm pull requests with custom labels\n labels:\n - \"npm dependencies\"\n - \"triage-board\"\n```\n\nConfigurar esta opción también afectará a las solicitudes de incorporación de cambios para las actualizaciones de seguridad en los archivos de manifiesto de este administrador de paquetes, a menos que use `target-branch` para buscar actualizaciones de versión en una rama diferente a la predeterminada.\n\nConsulte también [`labels`](/es/code-security/dependabot/working-with-dependabot/dependabot-options-reference#labels--).\n\n## Adición de un prefijo a los mensajes de confirmación\n\nPredeterminadamente, el Dependabot intenta detectar tus preferencias de mensajes de confirmación y utiliza patrones similares. Además, Dependabot rellena los títulos de las solicitudes de cambios en función de los mensajes de confirmación.\n\nPuedes especificar un prefijo propio para los mensajes de confirmación de Dependabot (y los títulos de solicitud de cambios) para un ecosistema de paquetes específico. Esto puede ser útil si, por ejemplo, vas a ejecutar automatizaciones que procesan mensajes de confirmación o títulos de solicitudes de cambios.\n\nPara especificar explícitamente tus preferencias, usa `commit-message` junto con las siguientes opciones admitidas:\n\n* `prefix`:\n * especifica un prefijo para todos los mensajes de confirmación.\n * El prefijo también se agrega al inicio del título del pull request.\n* `prefix-development`:\n * especifica un prefijo independiente para todos los mensajes de confirmación que actualizan las dependencias de desarrollo, en función de lo definido por el administrador de paquetes o el ecosistema.\n * Compatible con `bundler`, `composer`, `mix`, `maven`, `npm` y `pip`.\n* `include: \"scope\"`:\n * Especifica que cualquier prefijo va seguido por los tipos de dependencias (`deps` o `deps-dev`) actualizadas en la confirmación del commit.\n\nEn el ejemplo siguiente se muestran varias opciones diferentes, adaptadas para cada ecosistema de paquetes:\n\n```yaml copy\n# Customize commit messages\n\nversion: 2\nupdates:\n - package-ecosystem: \"npm\"\n directory: \"/\"\n schedule:\n interval: \"weekly\"\n commit-message:\n # Prefix all commit messages with \"npm: \"\n prefix: \"npm\"\n\n - package-ecosystem: \"docker\"\n directory: \"/\"\n schedule:\n interval: \"weekly\"\n commit-message:\n # Prefix all commit messages with \"[docker] \" (no colon, but a trailing whitespace)\n prefix: \"[docker] \"\n\n - package-ecosystem: \"composer\"\n directory: \"/\"\n schedule:\n interval: \"weekly\"\n # Prefix all commit messages with \"Composer\" plus its scope, that is, a\n # list of updated dependencies\n commit-message:\n prefix: \"Composer\"\n include: \"scope\"\n\n - package-ecosystem: \"pip\"\n directory: \"/\"\n schedule:\n interval: \"weekly\"\n # Include a list of updated dependencies\n # with a prefix determined by the dependency group\n commit-message:\n prefix: \"pip prod\"\n prefix-development: \"pip dev\"\n```\n\nConfigurar esta opción también afectará a las solicitudes de incorporación de cambios para las actualizaciones de seguridad en los archivos de manifiesto de este administrador de paquetes, a menos que use `target-branch` para buscar actualizaciones de versión en una rama diferente a la predeterminada.\n\nConsulte también [`commit-message`](/es/code-security/dependabot/working-with-dependabot/dependabot-options-reference#commit-message--).\n\n## Asociación de solicitudes de incorporación de cambios con un hito\n\nLos hitos te ayudan a realizar el seguimiento del progreso de grupos de solicitudes de cambios (o incidencias) hacia un objetivo o una versión del proyecto. Con el uso de Dependabot, puede usar la opción `milestone` a fin de asociar los pull requests para las actualizaciones de dependencias con un hito específico.\n\nDebes especificar el identificador numérico del hito y no su etiqueta. Para buscar el identificador numérico, comprueba la parte final de la dirección URL de la página, después de `milestone`. Por ejemplo, para `https://github.com///milestone/3`, \"`3`\" es el identificador numérico del hito.\n\n```yaml copy\n# Specify a milestone for pull requests\n\nversion: 2\nupdates:\n - package-ecosystem: \"npm\"\n directory: \"/\"\n schedule:\n interval: \"weekly\"\n # Associate pull requests with milestone \"4\"\n milestone: 4\n```\n\nConfigurar esta opción también afectará a las solicitudes de incorporación de cambios para las actualizaciones de seguridad en los archivos de manifiesto de este administrador de paquetes, a menos que use `target-branch` para buscar actualizaciones de versión en una rama diferente a la predeterminada.\n\nConsulta también [`milestone`](/es/code-security/dependabot/working-with-dependabot/dependabot-options-reference#milestone--) y [Acerca de los hitos](/es/issues/using-labels-and-milestones-to-track-work/about-milestones).\n\n## Cambio del separador en el nombre de la rama de solicitud de incorporación de cambios\n\nel Dependabot genera una rama para cada pull request. Cada nombre de rama incluye `dependabot`, así como el administrador de paquetes y la dependencia que se va a actualizar. De manera predeterminada, estas partes del nombre de la rama están separadas por un símbolo `/`, por ejemplo:\n\n* `dependabot/npm_and_yarn/next_js/acorn-6.4.1`\n\nPara mantener la compatibilidad o la coherencia con los procesos existentes, es posible que tengas que asegurarte de que los nombres de rama coincidan con las convenciones existentes del equipo. En este caso, puedes usar `pull-request-branch-name.separator` para especificar un separador diferente, si eliges `_`, `/` o `\"-\"`.\n\nEn el ejemplo siguiente, la configuración de npm cambia el separador predeterminado de `/` a `\"-\"`, para que aparezca de esta forma:\n\n* Valor predeterminado (`/`): `dependabot/npm_and_yarn/next_js/acorn-6.4.1`\n* Personalizado (`\"-\"`): `dependabot-npm_and_yarn-next_js-acorn-6.4.1`\n\nTen en cuenta que el símbolo de guion (`\"-\"`) debe estar entre comillas para que no se interprete como el inicio de una lista de YAML vacía.\n\n```yaml copy\n# Specify a different separator for branch names\n\nversion: 2\nupdates:\n - package-ecosystem: \"npm\"\n directory: \"/\"\n schedule:\n interval: \"weekly\"\n pull-request-branch-name:\n # Change the default separator (/) to a hyphen (-)\n separator: \"-\"\n```\n\nConfigurar esta opción también afectará a las solicitudes de incorporación de cambios para las actualizaciones de seguridad en los archivos de manifiesto de este administrador de paquetes, a menos que use `target-branch` para buscar actualizaciones de versión en una rama diferente a la predeterminada.\n\nConsulte también [`pull-request-branch-name.separator`](/es/code-security/dependabot/working-with-dependabot/dependabot-options-reference#pull-request-branch-nameseparator--).\n\n## Selección de destino de pull requests en una rama no por defecto\n\nDe manera predeterminada, Dependabot revisa si hay archivos de manifiesto en la rama predeterminada y genera solicitudes de cambios para las actualizaciones en esa rama.\n\nPor lo general, tiene más sentido mantener las comprobaciones y actualizaciones de Dependabot en la rama predeterminada. Pero es posible que haya casos en los que quieras especificar otra rama de destino. Si, por ejemplo, los procesos del equipo requieren que primero pruebes y valides las actualizaciones en una rama que no sea de producción, puedes usar `target-branch` para especificar una rama diferente para Dependabot a fin de generar solicitudes de cambios.\n\n> \\[!NOTE]\n> Dependabot genera solicitudes de incorporación de cambios para actualizaciones de seguridad **solo en la rama predeterminada**. Si usas `target-branch`, como resultado, todas las opciones de configuración de ese administrador de paquetes *solo* se aplicarán a las actualizaciones de versión y no a las actualizaciones de seguridad.\n\n```yaml copy\n# Specify a non-default branch for pull requests for pip\n\nversion: 2\nupdates:\n - package-ecosystem: \"pip\"\n directory: \"/\"\n schedule:\n interval: \"weekly\"\n # Raise pull requests for version updates\n # to pip against the `develop` branch\n target-branch: \"develop\"\n # Labels on pull requests for version updates only\n labels:\n - \"pip dependencies\"\n\n - package-ecosystem: \"npm\"\n directory: \"/\"\n schedule:\n interval: \"weekly\"\n # Check for npm updates on Sundays\n day: \"sunday\"\n # Labels on pull requests for security and version updates\n labels:\n - \"npm dependencies\"\n```\n\nConsulte también [`target-branch`](/es/code-security/dependabot/working-with-dependabot/dependabot-options-reference#target-branch-)."}