dependabot.ymlGitHub Dependabot 更新是否必须添加文件?还是只是更改默认值的附加选项?
问问题
2067 次
2 回答
6
配置文件是必需的,以便 Dependabot 知道要更新哪些环境。这是GitHub 文档中的一个极简示例,用于每天更新 GitHub Actions 的依赖项:
version: 2
updates:
- package-ecosystem: "github-actions"
directory: "/"
schedule:
# Check for updates to GitHub Actions every weekday
interval: "daily"
您还可以在GitHub 文档的表格中查看必要的配置。
于 2021-04-13T20:52:55.947 回答
1
从技术上讲dependabot.yml不是必需的- 如果您从 GitHub 项目设置/安全性中打开dependabot,它将开始工作。我在没有 YAML 文件的情况下打开了https://github.com/coreinfrastructure/best-practices-badge并且它有效。
但是,对于其他人来说,如果没有dependabot.yml文件,则使用dependabot并不明显,这是一个问题。例如,OpenSSF 记分卡会查找dependabot.yml文件以确定您的项目是否使用dependabot 来保持最新状态。使您的依赖项保持最新很重要,是的,但您的潜在用户知道您正在使事情保持最新也很重要。因此,为了完全透明,最好将配置文件发布在源代码库中。
它也会给你更多的控制权。
于 2021-09-16T15:36:18.303 回答