我正在使用 GitHub 的 dependabot.yml,版本 2。
version: 2
updates:
# Nuget Packages
- package-ecosystem: "nuget"
directory: "/"
schedule:
interval: "monthly"
我正在尝试弄清楚是否有可能进行配置,使得依赖项仅在包含安全修复程序的情况下进行更新,就像版本1一样。
version: 1
update_configs:
- package_manager: "dotnet:nuget"
directory: "/"
update_schedule: "monthly"
allowed_updates:
- match:
update_type: "security"
如果你有同样的问题,请让我知道你是如何解决的。
谢谢。
dependabot.yml 文件中将未处理的拉取请求数量设置为 0。open-pull-requests-limit: 0
这意味着它只会创建安全更新。
是的,我遇到了同样的问题,后来发现类似这个GitHub社区的帖子。
我记得我在哪里看到过这个。当使用市场上原始的dependabot时,有一个配置选项仅执行安全更新。我已经在我的一个存储库中设置了这个选项。现在,在原始dependabot中有一个选项,可以使用在原始dependabot中配置的设置生成一个dependabot.yml配置文件(以帮助过渡到使用dependabot.yml)。当我为只启用了安全更新的存储库执行此操作时,我收到以下消息:
您正在使用不受支持的功能 该存储库已配置仅扫描安全更新。不支持使用新的配置文件配置安全更新。相反,您可以从存储库安全设置页面启用Dependabot安全更新18。
听起来在dependabot v2中,他们将安全更新分离成UI配置,这就像GitHub行动密码一样糟糕。但是看起来您不再需要dependabot来配置依赖项的安全补丁。
如果这有所帮助,请告诉我。
无论你做什么,都不要相信CGPT代码。它暗示allow: security是版本2中的合法答案。
使用自托管的dependabot-core(更具体地说是在Argo Workflow cron工作流中运行的自定义dependabot脚本容器)是否可能实现这一点?似乎有一个名为security_updates_only的设置,但我不确定它是否用于此目的。
Dependabot无法再打开更多的拉取请求 已超过打开的拉取请求限制。当前限制为:0。 一旦您合并或关闭已经打开的拉取请求,Dependabot将会打开新的拉取请求。您也可以在配置文件中更新此限制。- Marian Bazalik