我该如何修改我的dependabot配置以排除主要版本？

Question

我该如何修改我的dependabot配置以排除主要版本？

6

这是我的Dependabot配置，有没有办法排除主要版本的更新，只保留次要的、补丁和安全更新？如果可以，我需要改变什么呢？

version: 1
update_configs:
  - package_manager: 'javascript'
    commit_message:
      include_scope: true
      prefix: 'chore'
    default_reviewers:
      - someUser
    default_labels:
      - 'dependencies'
    directory: '/'
    target_branch: 'develop'
    update_schedule: 'live'

- riscos3

目前根据文档（https://dependabot.com/docs/config-file/#ignored_updates），忽略主要更新的唯一方法是按依赖项名称而非全局设置。 - Gabriel Caruso

现在可以了 -> https://docs.github.com/en/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates#example-disabling-version-updates-for-some-dependencies - Bala.Raj

2个回答

2

你可以像这样做。我们使用它来忽略某些依赖的特定版本。

- package-ecosystem: gomod
  directory: "/"
  schedule:
    interval: daily
    time: "04:00"
  open-pull-requests-limit: 10
  reviewers:
  - xh3b4sd
  ignore:
  - dependency-name: k8s.io/*
    versions:
    - ">=0.19.0"

我目前需要解决的一个问题是如何在忽略更新后自动恢复更新。目前看起来必须手动触发更新，当你有很多仓库时这是相当费力的。

- xh3b4sd

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Michael · Accepted Answer

现在这是可能的，不过您需要升级到 Dependabot 版本2。然后您可以执行以下操作：

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "*"
        update-types: ["version-update:semver-major"]

有关此内容的更多信息，请参见https://docs.github.com/cn/code-security/dependabot/dependabot-version-updates/configuration-options-for-the-dependabot.yml-file#ignore。