Optimisation des packages Java pour les mises à jour de Dependabot

By including metadata in your pom.xml file, you can enhance the information available to users in Dependabot pull requests to update your Java packages.

Dans cet article

Dependabot utilise les informations définies dans pom.xml fichiers pour créer des demandes de tirage pour mettre à jour les dépendances Java pour les écosystèmes Gradle et Maven. Lorsque vous incluez les métadonnées du projet que Dependabot attend, les demandes de tirage contiennent des liens vers les notes de publication pour la mise à jour de paquet suggérée et un lien dans lequel les utilisateurs peuvent signaler des problèmes. Ces informations signifient que les utilisateurs peuvent mettre à jour leurs paquets en toute confiance après avoir examiné toutes les informations relatives à la version.

Inclure les métadonnées Dependabot nécessaires dans les fichiers pom.xml

Dependabot utilise les URL du projet, du système de gestion du code source et du système de gestion des problèmes pour créer le résumé des demandes de mise à jour.

  • url la page d’accueil du projet, consultez Plus d’informations sur le projet dans la référence POM
  • scm l’URL du système de gestion du code source utilisé par le projet, consultez SCM dans la référence POM
  • issueManagementl'URL du système de gestion des problèmes utilisé par le projet, voir Gestion des problèmes dans la référence POM

Exemple de projet hébergé sur GitHub

<project>
  <url>https://github.com/OWNER/REPOSITORY</url>
  <scm>
    <url>https://github.com/OWNER/REPOSITORY</url>
  </scm>
  <issueManagement>
    <url>https://github.com/OWNER/REPOSITORY/issues</url>
  </issueManagement>
</project>

Remplacez OWNER et REPOSITORY par le détail de votre projet.

Impact de l’omission des métadonnées de projet à partir de fichiers pom.xml

Si vous oubliez d'inclure les URL que Dependabot vérifie, les demandes de mise à jour des paquets Java sont toujours créées. Toutefois, les informations disponibles pour les utilisateurs dans le résumé des demandes de tirage seront limitées.

  • **Référentiel de projet ou URL de gestion du code source non défini : ** pas de liens vers les notes de mise à jour dans les demandes de tirage Dependabot
  • URL de gestion des problèmes non définie : aucun lien vers la page problèmes pour signaler des problèmes.

L’ajout de ces informations permet à Dependabot de fournir de meilleures mises à jour plus précises pour votre projet, avec des liens utiles vers les notes de publication et les suivis de problèmes.

Pour aller plus loin