criar um arquivo YML para dependabot

[larsobral]

Para criar um arquivo YML que verifique uma vez por semana se há dependências com vulnerabilidades no projeto e abra um pull request (PR) com as atualizações, você pode usar a ferramenta Dependabot da GitHub.

Primeiro, você precisa criar um arquivo de configuração Dependabot em seu repositório com as informações sobre as dependências que você deseja atualizar. Aqui está um exemplo de como o arquivo YML pode ser configurado com base nos pacotes que você listou:

[larsobral]

Lembre-se de que o Dependabot só abrirá o PR se encontrar uma atualização de dependência que corrija uma vulnerabilidade ou inclua uma nova funcionalidade importante. Você ainda precisará revisar e mesclar manualmente o PR gerado pelo Dependabot, verificando se as mudanças são compatíveis com o seu projeto e se não causam conflitos com outras dependências.

# Dependabot configuration for Python
# More info: https://dependabot.com/docs/python/
version: 2
updates:
  # Look for updates once a week
  - schedule:
      interval: weekly
    # Update all Python dependencies
    - package-ecosystem: "pip"
      directory: "/"
      # Only update direct dependencies (not transitive ones)
      update-type: "direct"
      # Set the target branch for the PR
      target-branch: "develop"

[larsobral]

Não é necessário informar cada pacote instalado no projeto no arquivo YAML para que o Dependabot verifique suas dependências e encontre vulnerabilidades. O Dependabot verificará automaticamente todas as dependências do seu projeto, incluindo as dependências diretas e indiretas, e notificará você se encontrar alguma vulnerabilidade.