GitHub Actions - 忽略或排除 Dependabot 拉取请求
我有一个存储库,其中包含 Dependabot,它会打开版本更新等PR,我希望保留这些内容。 在同一存储库中,我为我的团队编写了GitHub拉取请求操作。 我的问题是,无论我尝试什么,Dependabot都会触发Pull Request操作。 我的PR操作必须在暂存分支的拉取请求上触发,...
Dependabot 是否可以选择特定的分支来开启 PR?
就像标题所说,在GitHub上,是否可以手动选择Dependabot应该针对哪个分支开放其拉取请求? 据我所见,它会针对在仓库设置中被设置为主要分支的任何分支打开PR,但是否可以选择另一个分支呢?
在GitHub上禁用一个仓库的Dependabot警报
GitHub的Dependabot安全警报有时可能会变得繁琐,特别是当一个不再使用的废弃项目频繁收到安全咨询时。是否有选项可以禁用主动安全监控?
我可以从GitHub Dependabot中排除目录吗?
我的仓库中有一个目录/experiments,其中包含实验。这些实验通常都有自己的package.json文件,其中包括在我制作实验时最新的依赖项,但现在可能已经过时了。我没有意图将它们保持最新,因为这些实验只是概念证明——概念证明我可能会在项目后期使用,但那时我会在主项目中重新实现。 不幸的...
Dependabot 只更新锁文件。
我们最近将依赖检查工具从Greenkeeper 切换到 Dependabot,然后我们发现 Dependabot 仅开启PR更改package-lock.json而package.json则保持原样。 相反地,Greenkeeper会在这两个文件上做出更改。 这是怎么回事?这种情况是否正常...
如何让Dependabot仅为安全更新触发
我正在使用 GitHub 的 dependabot.yml,版本 2。version: 2 updates: # Nuget Packages - package-ecosystem: "nuget" directory: "/" ...
如何通过GitHub API获取Dependabot警报列表?
我该如何通过GitHub API获取https://github.com/{user}/{repo}/security/dependabot?page=1&q=is%3Aopen上可用的Dependabot警报列表? 我搜索了文档,但在那里没有找到任何东西。 谢谢!
如何自动合并 Dependabot 更新(配置版本 2)?
在看完“Dependabot正式移植到GitHub!”后,我需要更新我的dependabot配置文件以使用版本2格式。我的.dependabot/config.yaml看起来像这样:version: 1 update_configs: - package_manager: "py...
Dependabot:“由于ansi-regex不再存在漏洞,因此无需进行安全更新”
Dependabot首先报告了一个包中的安全问题,然后又撤回了该报告。撤回的依据没有给出,只是说该软件包“不再存在漏洞”。这毫无意义。原始CVE仍然存在,并且所影响的代码仍被引用。经过调查,我发现所提供的软件包在yarn.lock文件中出现了两次,一次是包含漏洞的版本,另一次则包含修补程序的版...
如何在合并配置之前测试dependabot?
在将 Dependabot 合并到我的仓库之前,有没有一种方法可以测试它是否按预期工作? 我在一个相当大的团队中工作,我想确保在合并之前可以测试其功能。我创建了一个分支,并在我们的开发分支上打开了一个 PR。有没有办法确保已创建用于更新依赖项的 PR 并添加了我设置的审阅者?