问题标签 [dependabot]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
github - 我可以从 GitHub Dependabot 中排除目录吗?
我的仓库中有一个目录/experiments,其中包含 - 惊喜!- 实验。这些通常带有自己的package.json依赖项,其中包括在我进行实验时是最新的但现在可能已经过时的依赖项。我无意让它们保持最新,因为实验只是概念的证明——我可能想在项目的后期使用这些概念,但我会在主项目中重新实施。
不幸的是,Dependapot 向我发送了很多关于/experiments. 其中许多都需要我的手动操作。所以我想告诉 Dependabot 不要发送任何通知或为/experiments目录中的所有内容创建 PR(但继续为主项目中的依赖项创建 PR)。
我并没有在 GitHub 上找到太多关于如何配置 Dependabot 的文档,但我想出了这个:
/.github/dependabot.yml:
但它似乎不起作用。今天我收到了另一个来自 Dependabot 的 PR,它在/experiments. 它是自动合并的,所以我不费吹灰之力,但还是有点烦人。
我怎样才能做到这一点?
npm - 为dependabot配置NPM版本
我正在使用dependabot 使用以下内容更新我的NPM 依赖项dependabot.yml
但是,dependabot 使用的 NPM 版本与我在本地安装的版本不同。有没有办法指定 NPM dependabot 使用哪个版本?
docker - 每当 docker hub 上有新的 alpine 的 python 补丁版本可用时,如何配置dependabot.yml 进行更新?
我在 GitHub 上将 Docker 用于代码库和依赖机器人。
我想要的是
每当 docker hub 上的 python-alpine 映像有新的补丁版本或新的 alpine 次要版本时,请参阅https://hub.docker.com/_/python,我希望dependabot 为其创建一个新的 PR。
我试过的
这是我的dependabot.yml
这些是我的 Dockerfile 的位置。
- 对于开发人员:/compose/local/django
- 用于生产:/compose/production/platform/doap
我在两个位置的 Dockerfile 都是这样开始的:
我不认为它有效。我没有看到任何 PR,因为最新的是python:3.8.8-alpine3.12. 如何更改我的dependabot.yml?
yarn-workspaces - 在 Yarn 2.0 中使用 yarn up 升级 yarn.lock 文件中的依赖项时出错
我正在尝试使用 Yarn 2.0 升级到我的依赖项的最新版本yarn.lock以解决依赖机器人问题。ini依赖项存在问题,我尝试运行yarn up ini导致以下错误的命令:
我注意到我可以yarn up用来升级package.json文件中的包,但无法弄清楚如何更新yarn.lock. 我想知道是否有人知道我应该使用什么命令?
任何帮助将不胜感激。谢谢!
github - 如何通过 GitHub API 获取依赖机器人警报列表?
如何通过 GitHub API获取https://github.com/{user}/{repo}/security/dependabot?page=1&q=is%3Aopen上可用的依赖机器人警报列表?
我搜索了文档,但在那里找不到任何东西。
谢谢!
github - 对于 GitHub Dependabot,dependabot.yml 是强制性的吗?
dependabot.ymlGitHub Dependabot 更新是否必须添加文件?还是只是更改默认值的附加选项?
github - Github API 来管理对安全警报的访问?
启用 Dependabot 安全警报后,您需要在安全和分析设置 ( https://github.com/[org]/[repository]/settings/security_analysis ) 中明确授予对警报的访问权限。默认情况下,协作者看不到安全“选项卡”,除非他们拥有存储库的管理员权限(我们不使用)。
有没有办法使用 GitHub API 或其他自动化/可编写脚本的方式来做到这一点?这似乎不在 API 中,手动处理 100 个存储库也不是很实用。
npm - 更新 NPM 中的依赖项以解决漏洞
我在 github 中的 repo 显示以下警报:
Dependabot 无法将 ssri 更新为非易受攻击的版本。可以安装的最新版本是 6.0.1,因为存在以下冲突的依赖关系:
terser-webpack-plugin@2.3.8 通过 cacache@13.0.1 需要 ssri@^7.0.0
webpack@4.46.0 通过对 cacache@12.0.4 的传递依赖需要 ssri@^6.0.1
最早的固定版本是 8.0.1。
据我所知,我应该将package.json中的根包(即terser-webpack-plugin)更新为较新的版本,但是如何确定可以支持依赖的非易受攻击版本的最低版本(在这种情况下 ssri 8.0.1)因为我不想更新到太高的版本并冒着破坏事情的风险。我正在考虑手动检查 terser-webpack-plugin 的所有发布版本,但是这样检查非常乏味并且似乎是错误的。有什么建议么 ?
react-native - Dependabot 未能更新您的依赖项,因为在 /package.json 中解析 package.json 时出错
我在我的React Native应用程序的存储库中启用了 Dependabot GitHub 操作,但由于某种原因,它不会自动更新。我有 2 个依赖项不会: xmldon 0.5.0 和 node-fetch 2.6.1
当我尝试创建 Dependabot 安全更新时,我不断收到此错误:
另外,我不应该手动创建一个dependabot安全更新,因为我的github操作应该自动化它,它看起来像这样:
路线:my-app/.github/dependabot.yml
我在这里错过了什么吗?我以完全相同的方式为我的网站启用了此功能,该网站是用React.js编写的,并且运行良好。
git - 是否可以选择 Dependabot 应该打开 PR 的特定分支?
就像标题所说的那样,在 GitHub 上是否可以手动选择 Dependabot 应该打开其 Pull Requests 的分支?
从我所见,它会针对在 repo 设置中设置为主分支的任何一个分支打开 PR,但可以选择另一个分支吗?