问题标签 [dependabot]

有没有办法在将它合并到我的回购之前测试dependabot是否按预期工作？

我在一个相当大的团队工作，我想确保我可以在合并之前测试功能。我创建了一个分支，其中 PR 对我们的开发分支开放。有没有办法确保创建更新依赖项的 PR 并添加我设置的审阅者？

我正在使用 GitHubdependabot.yml，版本 2。

我试图弄清楚是否有可能配置它，只有当它们包含安全修复程序时才会更新依赖项，因为它可以为版本 1 完成

让我知道您是否有同样的问题以及您是如何解决的。

谢谢

我收到了这个安全通知：

但是出现了这个错误。：Dependabot cannot create a pull request as one or more other dependencies require a version that is incompatible with this update.

另外，我做了yarn upgrade但没有任何改变。

这是什么 ？？我怎么解决这个问题？

语境：

Projen是生成和管理（JSII构建的）AWS CDK项目的绝佳工具。

背景：

以前我使用RenovateBot的group:aws-cdkMonorepo预设管理 CDK 依赖项。这将导致 RenovateBot 为 AWS CDK 依赖更新创建单个 Github 拉取请求。

问题：

使用 Projen，可以控制 CDK 版本.projenrc.js：

那么如何cdkVersion使用 DependaBot 或 RenovateBot 等工具来管理该价值呢？

由于使一个人的 CDK 结构与当前 CDK 版本保持最新是至关重要的，并且手动执行多个 CDK 结构将是痛苦的。

在“Dependabot 正在原生迁移到 GitHub！”之后，我不得不更新我的dependabot 配置文件以使用版本 2 格式。

我的.dependabot/config.yaml看起来像：

我有以下工作：

但我似乎无法再次添加 automerge 选项（使用dependabot验证器检查时）？

我们的 Github 项目存储库配置为接收来自dependabot 的安全 PR，并且我们会定期获取它们。

我们将 Jenkins 与构建触发器一起使用，以便当用户在 PR 评论中评论 /test 时，它会触发测试。

然而，在dependabot PRs 上，这最终什么都不做。

我将“dependabot”添加到詹金斯白名单中，但这似乎没有任何作用。

使用詹金斯 2.249.1

我已经迁移了一个私有 GitHub 存储库以使用新的 Dependabot（到 GitHub），现在 Dependabot 徽章在我的 上显示为非活动状态README.md，但它工作正常。

我正在寻找一种方法来修复徽章以反映真实状态。

由于私有包，我仍在使用 Dependabot v1。下面是我的 javascript (yarn) 配置。

我想要的是？

我想排除/忽略 webpack-cli 4.x。每当dependabot 运行时，webpack-cli 都会更新为4.x. 它与我的应用程序不兼容，所以我最多需要v3.3.12. 所以，我告诉dependabot之后忽略，^3.3.12但它仍然会颠簸并更新webpack-cli到v4.x

如何确保 webpack-cli 始终保持在v3-series？

预期的

Dependabot 忽略 v4

实际的

它颠簸我的package.json和v4。yarn.lock

我需要一些关于Dependabot的帮助。我最近发现了这个惊人的包，但是我的一些存储库需要依赖包，这些包是由我创建并在我的个人项目中使用的私有包。Dependabot 表示，对于任何使用私有包的存储库，建议最好从其网站的仪表板进行配置。

在我的repo中，我已将 Dependabot 的配置.github/dependabot.yml从之前位于的仪表板中移至文件中。在repo的Insights选项卡和Dependact Graph部分中，也抛出了关于找不到私有包的错误。有没有人实现过类似的东西？我非常感谢您在这里的支持。

在企业环境中，与中央 maven 的连接可能会被阻止。在这种情况下，i) 要么根本不连接到中央 maven ii) 或者如果与中央 maven 的连接不成功，不要引发异常，只需转到其他存储库

目前我看到以下异常

所以我想知道是否有任何方法可以告诉dependabot 根本不要尝试连接到maven Central。

供参考。我正在运行https://github.com/dependabot/dependabot-script