区分Dependabot安全更新和版本更新的拉取请求?

4
我们已经启用了Dependabot来检测我们的存储库中的安全漏洞一段时间,但现在也为版本更新进行了设置。我的理解是,后者的配置选项也会影响前者,特别是当涉及元数据选项时,比如设置PR标签或标题。
鉴于此,是否有一种方法可以区分Dependabot为安全漏洞打开的PR和因过时而打开的PR,以便在我们想优先处理前者的情况下进行区分?
2个回答

1

我今天遇到了完全相同的问题。目前我还没有找到一种方法可以从PR本身区分安全性PR和过时的PR,但我已经找到了一些解决办法:

  1. Dependabot的安全警报有独立于您在dependabot.yml配置文件中设置的限制的PR限制。该限制被硬编码为10个
  2. 如果您想优先处理安全警报,可以更轻松地从存储库的警报页面进行操作:https://github.com/[user]/[repo]/security/dependabot。 如果Dependabot为其中一个安全更新打开了PR,则该警报右侧将显示一个小型拉取请求图标和链接。
  3. 我认为如果现有的PR解决了该依赖项,Dependabot不会打开安全警报(它会在警报页面上告诉您)。因此,如果发现您有安全警报而没有生成任何拉取请求,请尝试处理非安全Dependabot PR,看看它们是否解决了您的安全警报。
  4. 最后一件要尝试的事情可能是将非安全Dependabot限制为仅限于次要和补丁版本。理论上,这将限制修复安全问题的拉取请求数量,但 也难以验证和合并,这可以帮助进行优先排序。

希望这可以帮到您!我相信我也错过了某些东西,所以我很乐意看到其他人对这个问题的回答。


0
使用fetch-metadata操作,您可以设置alert-lookup: true,这将启用一些在相关PR与安全相关时填充的输出。缺点是需要使用PAT(尚未尝试GitHub App令牌)。

网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接