dependabot_renovate

Herramientas que monitorizan las dependencias del proyecto y generan Pull Requests automáticos cuando hay actualizaciones disponibles. Dependabot es nativo de GitHub y Renovate es self-hosted con mayor configurabilidad. Ambos ayudan a mantener las dependencias de seguridad actualizadas en el sistema KYC.

When to use

Usar de forma continua en el repositorio para mantener actualizadas las dependencias de Python (pip), JavaScript (npm), Docker y Kubernetes. Especialmente crítico para dependencias de seguridad en un sistema que maneja datos biométricos sensibles. Configurar al inicio del proyecto y mantener activo durante todo el ciclo de vida.

Instructions

1. Para Dependabot (GitHub nativo), crear .github/dependabot.yml en la raíz del repositorio.
2. Configurar los ecosistemas a monitorizar: package-ecosystem: "pip" para backend Python, "docker" para imágenes base, "github-actions" para workflows.
3. Establecer frecuencia de actualización: schedule: interval: "weekly" para dependencias generales y "daily" para actualizaciones de seguridad.
4. Agrupar dependencias relacionadas para reducir el número de PRs: groups: ml-dependencies: patterns: ["insightface", "opencv*", "torch*"].
5. Para Renovate (alternativa self-hosted), instalar la GitHub App o ejecutar como contenedor Docker: docker run renovate/renovate.
6. Configurar renovate.json con reglas de auto-merge para actualizaciones patch que pasen CI: "automerge": true, "matchUpdateTypes": ["patch"].
7. Definir reglas estrictas para dependencias críticas de ML y seguridad: requieren revisión manual antes del merge.
8. Monitorizar los PRs generados semanalmente y resolver conflictos o incompatibilidades rápidamente.