我正在使用 GitHubdependabot.yml,版本 2。
version: 2
updates:
# Nuget Packages
- package-ecosystem: "nuget"
directory: "/"
schedule:
interval: "monthly"
我试图弄清楚是否有可能配置它,只有当它们包含安全修复程序时才会更新依赖项,因为它可以为版本 1 完成
version: 1
update_configs:
- package_manager: "dotnet:nuget"
directory: "/"
update_schedule: "monthly"
allowed_updates:
- match:
update_type: "security"
让我知道您是否有同样的问题以及您是如何解决的。
谢谢
根据 GitHub 支持,您可以将打开的拉取请求数设置为 0 dependabot.yml:
open-pull-requests-limit: 0
这意味着它只会创建安全更新。
是的,我遇到了同样的问题,然后我发现了类似这个github community thread的东西。
我记得我在哪里看到的。当使用市场上的原始依赖机器人时,一种配置选项是仅执行安全更新。我从我的一个存储库中获得了该集。现在原始dependabot 中有一个选项,可以使用原始dependabot 中配置的设置生成dependabot.yml 配置文件(以帮助过渡到使用dependabot.yml)。当我为仅启用安全更新的存储库执行此操作时,我收到以下消息:
您正在使用不受支持的功能 此存储库配置为仅扫描安全更新。不支持使用新配置文件配置安全更新。您可以改为从存储库安全设置页面 18 启用 Dependabot 安全更新。
听起来像是在dependabot v2 中,他们已经将安全更新分离到UI 配置中,这与GitHub 操作机密一样糟糕。但是看起来您不再需要dependabot 来为依赖项配置安全补丁了。
让我知道这是否有帮助。