Dependabot 网页声明它与pip需求文件或pipenvpipfile 兼容。这是如何运作的?
如果子依赖对项目变得多余,Dependabot 可以删除它吗?
通常在使用时pipenv,锁定文件(类似于 a pip freeze)是从 pipfile 动态生成的(它只指定直接导入,即顶级依赖项,并且除非绝对必要,否则不鼓励约束版本号)。使用 pipfile 重新生成 lockfile 将升级整个依赖关系树。当父依赖不再使用时,这具有从锁定文件中删除子依赖的副作用。Dependabot 是否考虑 pipfile,或者它只是将 lockfile 视为一个pip freeze(并且仍然需要定期维护以清除任何未使用的库引用的积累,并更新 pipfile 约束)?
如果使用pipDependabot 会尊重组织范围的约束文件吗?
如果 python 项目还使用非 python 依赖项,例如 nodejs 或 GDAL,这些依赖项不是由 python 包管理器安装的,那么如何配置 Dependabot?