问题标签 [dependabot]

我有一个 API，我希望 nuget 包使用我自己的提要进行更新，但是当我进入这个 UpdateCheckers 设置时，它显示我 update_not_possible。该项目就像nugets feed一样托管在azure上，执行构建时，它只执行而不创建拉取请求，se only in Found # {dep.name} @ # {dep.version} ...

我正在尝试使用dependabot 自动更新私有Go 存储库。我现在的dependabot.yml样子是这样的：

“私有依赖”不跟踪版本，所以我想针对特定分支进行更新。

我知道我可以通过运行手动执行此操作，go get private-dependency@branch但我找不到任何有关我是否可以通过 Dependabot 执行此操作的文档。

我可以创建一个 Github Action 来运行命令并打开 PR，但如果可能的话，我希望避免这样做。

Dependabot 是否甚至支持更新跟踪分支的 Go 依赖项？如何使用 Dependabot 做到这一点？

我们在项目中启用了 Github 安全更新，我们需要更改生成的提交消息。

正如我所发现的，dependabot 在版本 2 中“拆分”为两个功能。

• 首先是依赖项更新，它会随着时间的推移进行检查并定期为依赖项创建更新。这些可以通过 .github/dependabot.yml 进行配置。我们不想要这些，因为我们需要手动计划这些
• 其次是仅通过 UI 启用的安全更新。

我可以在不启用依赖项更新的情况下为安全更新配置提交消息吗？或者，如果您需要任何自定义内容，您是否应该在收到安全警报时手动创建 PR？

我已经尝试过使用 Azure devops 的dependabot-script 并且没有遇到大障碍（我注意到当我在 ADO 中使用用户访问令牌而不是系统访问令牌时，Dependabot 抛出错误 repo not found），但现在尝试使用企业 Bitbucket 服务器我只看到这个错误。

有没有人遇到过这个错误？

docker run --rm -v "$(pwd):/home/dependabot/dependabot-script" -w /home/dependabot/dependabot-script -e BITBUCKET_ACCESS_TOKEN=$BITBUCKET_ACCESS_TOKEN -e GITHUB_ACCESS_TOKEN=$GITHUB_ACCESS_TOKEN -e PACKAGE_MANAGER=npm_and_yarn -e PROJECT_PATH=projects/project_name/repos/repo_name bundle exec ruby ./generic-update-script.rb

错误 /home/dependabot/dependabot-script/vendor/ruby/2.7.0/gems/dependabot-common-0.142.0/lib/dependabot/clients/bitbucket.rb:170:in `Clients::Bitbucket::NotFound)

我想获得一个概览，例如我有权在 GitHub 组织中查看的所有关键漏洞。

这个答案使我能够获得特定存储库的列表：

然而，手动扫描大型组织就像通过 API 一样简单地通过 GUI 逐个 repo。

有没有办法，最好是在Insomnia中，但如果没有，那么 CLI 版本就可以了，以获得这样的关键漏洞列表？

我怀疑它只能通过遍历所有存储库的列表来查询每个存储库来完成，就像我从我正在玩的其他东西中得到的这个查询一样，但很好奇是否有人有任何其他聪明的解决方案来保存编写该应用程序：

在本教程的python 打包教程中，建议使用 setup.cfg 而不是 setup.py 来声明依赖项。然而，在“依赖图”下的 github 上，只有在 setup.py 或 pyproject.toml 下声明的依赖项才会被读取。这是否意味着不建议在 setup.cfg 中声明依赖项？

或者，如果建议我如何告诉dependabot 检查 setup.cfg 下的依赖关系？

我有一个 GitHub 操作，可以针对在我的仓库中打开的每个拉取请求在 CI 中运行测试。

作为测试工作流程的一部分，该作业检查了 GitHub 组织中的其他几个存储库（它们都是私有的，与我的存储库相同）。稍后，工作流使用为测试套件签出的内容。

这在我们组织的贡献者发出的拉取请求上效果很好，但是只要这个工作流在 Dependabot 发布的 PR 上运行 - 它就会失败，因为 Dependabot PR 没有与其他拉取请求相同的秘密访问权限。

我的问题是，如何在不将所有机密数据暴露给dependabot 的情况下，为这个工作流提供检查组织中其他存储库的能力？

谢谢！

Dependabot 网页声明它与pip需求文件或pipenvpipfile 兼容。这是如何运作的？

如果子依赖对项目变得多余，Dependabot 可以删除它吗？

通常在使用时pipenv，锁定文件（类似于 a pip freeze）是从 pipfile 动态生成的（它只指定直接导入，即顶级依赖项，并且除非绝对必要，否则不鼓励约束版本号）。使用 pipfile 重新生成 lockfile 将升级整个依赖关系树。当父依赖不再使用时，这具有从锁定文件中删除子依赖的副作用。Dependabot 是否考虑 pipfile，或者它只是将 lockfile 视为一个pip freeze（并且仍然需要定期维护以清除任何未使用的库引用的积累，并更新 pipfile 约束）？

如果使用pipDependabot 会尊重组织范围的约束文件吗？

如果 python 项目还使用非 python 依赖项，例如 nodejs 或 GDAL，这些依赖项不是由 python 包管理器安装的，那么如何配置 Dependabot？

我正在探索 Dependabot 是如何工作的，但它并没有像我预期的那样工作。

我创建了 2个私有 Golang 存储库（one，two），one具体取决于two：

one的go.mod：

NOTE e7aa41e4107b是为了检查 VS Code 和 Dependabot 的更新检查而故意预先提交的。

并且dependabot.yml：

two的 2 个最近的提交是：

和：

NOTE b2f2074829aa是我期望被告知的提交，并且是继续引用e7aa41e4107b的先前提交。twoone

VS Code 很快确定有可用的更新，并且：

注意正确识别最新提交（b2f2074829aa）以替换先前提交（e7aa41e4107b）

但是，在 22 小时和反复强制更新后，dependabot继续报告e7aa41e4107b最新的：

注意Dependabot 似乎没有访问问题github.com/dazwilkin/two，但它没有找到最近的提交。

这只是一个最终的一致性问题，我需要等待更长时间吗？

更新我又等了 24 小时，它继续找到较早的提交作为latest version

还是我误解或错误配置了 Dependabot？

一个可能相关的问题是我的 GitHub 帐户是大小写混合的DazWilkin，但为简单起见，我使用全小写 ( github.com/dazwilkin) 发布和引用 Golang 模块。但是 Dependabot 似乎没有问题找到先前的提交。

我正在尝试在 Github 存储库上设置依赖机器人。

这是我的配置文件：

我收到以下错误：

在解析错误的情况下可能会发生此错误。但是我从docs 中的示例的复制粘贴中改编了这个文件。此外，我使用验证工具验证了 yaml 文件。

知道我做错了什么吗？