dependabot 文档说您可以指示每个包管理器要检查的依赖项类型。但是,尚不清楚它如何区分开发包和生产包。其他选项非常简单(all、direct和indirect)。
如果您选择dependency-type: productionunder npm,我假设dependabot 将忽略devDependencies. 不幸的是,我不确定,因为文档没有提到该工具使用的具体标准。
有了pip,就更不清晰了。原因是因为没有概述需求文件命名约定的 PEP。既然你基本上可以有多个需求文件,但没有明确的名称规则,dependabot 怎么知道要检查哪一个?例如,我将 dev-requirements.txt 和 requirements_dev.txt 视为开发包文件。我知道选择一个或另一个(或者可能是另一种变体)并坚持使用它是一种最佳实践,但我想知道如果我dependency-type: development在pip.