GitHub Dependabot是否需要dependabot.yml文件？

Question

GitHub Dependabot是否需要dependabot.yml文件？

githubdependabot

6

添加 dependabot.yml 文件是获得 GitHub Dependabot 更新的必要条件吗？还是仅仅是改变默认值的附加选项？

https://docs.github.com/en/github/administering-a-repository/configuration-options-for-dependency-updates

- Elina Akhmanova

1

我想进行一些配置，但我不想破坏现有的工作。我希望它能够继续执行当前的操作，但将特定目录分配给特定团队。我猜我运气不好，因为没有文档说明默认配置是什么。 - nroose

2个回答

8

配置文件是必要的，这样Dependabot才知道需要更新哪些环境。以下是从GitHub文档中获取的用于每天更新GitHub Actions依赖项的最简示例：

version: 2
updates:

  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      # Check for updates to GitHub Actions every weekday
      interval: "daily"

你还可以在GitHub文档的表格中看到必要的配置。

- flaxel

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- David A. Wheeler · Accepted Answer

从技术上讲，dependabot.yml文件不是必需的 - 如果您在GitHub项目设置/安全性中开启dependabot，它就会开始工作。我开启了https://github.com/coreinfrastructure/best-practices-badge而没有使用YAML文件，这也起作用。

然而，如果没有dependabot.yml文件，对于其他人来说并不明显 dependabot 正在使用，这是个问题。例如，OpenSSF scorecard 会查找 dependabot.yml 文件以确定您的项目是否正在使用 dependabot 来保持更新。确保依赖项最新是很重要的，但让潜在用户知道您正在保持更新也同样重要。因此，为了完全透明，最好在源代码存储库中发布配置文件。

这也会给您更多的控制。