我们最近从 切换greenkeeper到dependabot进行依赖项检查,我们注意到dependabot打开的 PR 只改变了package-lock.json原样package.json。
另一方面,greenkeeper, 正在提交对两个文件的更改。
到底是怎么回事?这是正常的还是我们错过了设置中的某些内容?
问问题
2089 次
3 回答
2
这是一个很晚的答复。我们已经在生产中工作了很长时间,但我看到仍然有兴趣促使我认为人们可能需要一些帮助。所以,这里是:
使用 GitHubdependabot 时(not dependabot-preview,虽然 conf 文件实际上可能相同):
dependabot.yml在你的 repo.github目录中创建一个文件。- 指定版本控制策略。
increase
它看起来像这样(例如npm):
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
# Always increase the version requirement
# to match the new version.
versioning-strategy: increase
而已。现在,package.json并且package-lock.json都写入了版本增加。
于 2021-03-26T15:00:15.493 回答
-2
类似的事情发生在我身上,可能是两件事:
- 在dependendabot 配置中,您只需要接受 package-lock.json 的更新
- (这是对我有用的)在 package.json 中的密钥中
Name,在我的情况下您可能用不正确的符号编写了web-app该符号-导致我没有更新它,现在我将它作为webapp.
于 2020-04-09T15:27:54.167 回答
-3
文件 package-lock.json 的目标是跟踪已安装的每个包的确切版本,以便产品以相同的方式 100% 可重现,即使包由其维护者更新。 参考链接在这里
所以 package.json 和 package-lock.json 有不同的用途。
尝试仅推送修改后的 package-lock.json 时,dependabot 没有错误。
于 2021-02-04T21:59:45.747 回答