问题标签 [dependabot]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - 是什么导致了这个dependabot问题?
我正在关注这个:https : //bobbybouwmann.nl/blog/dependabot-on-gitlab,试图让 Dependabot 与 gitlab 一起工作。我收到以下错误?
于是查了一下,指定的docker镜像不存在:https ://hub.docker.com/u/dependabot
但是,如果我使用不同的、公开可用的图像,我会得到:
api - 如何使用 github api 查找用户名
我制作了一个创建拉取请求的应用程序,以在存储库“Alpha”获得新标签时更新我所有组织存储库中的依赖项。该过程由我们在 Alpha 上的 CI 流程触发。这里的其他工程师希望升级此应用程序,以便制作标签的人也自动添加为所有相关拉取请求的请求审阅者。我看不出有任何方法可以使用github REST api做到这一点。到目前为止,我有:
我看不到任何从带有名称和/或电子邮件的 REST api 获取用户名的好方法。我可以查询来自 Alpha 的提交并过滤它们,但是“标记的人”!=“最后一次提交的人并且我知道我们的更多产标记器中至少有一个有时是从不同的电子邮件登录的(web vs cli vs home machine等),因此应用程序可能会不时错过它们。
我认为可以通过 GraphQL api 获得我想要的东西,但我真的很想在走这条路之前用尽 REST 的可能性。请按照我的方式拍摄任何想法!
security - Dependabot “不需要安全更新,因为 ansi-regex 不再易受攻击”
Dependabot 首先报告并撤回了一个包中的安全问题。没有给出撤回的依据,只是说该包裹“不再易受攻击”。这是没有意义的。原始 CVE 仍然存在,并且仍然引用了受影响的代码。
经过调查,我发现给定的包在 yarn.lock 中有两次,一次在包含漏洞的版本中,然后在包含补丁的版本中:
gulp - 如何使用 gulp 解决设置值原因的 Git Dependabot 安全警报?
我有一个带有 css/js 项目的 git repo,它的构建是由 Gulp 编排的。最近 Dependabot 标记了 set-value 的安全警报:'gulp@4.0.2 通过对 cache-base@1.0.1 的传递依赖需要 set-value@^2.0.0''最早的固定版本是 4.0.1' .
似乎 4.0.2 是 Gulp 的最新版本,所以我不知道如何解决这个问题。我希望每周有近 200 万次 Gulp 下载,有人会对此有解决方案。
dependabot - Azure DevOps 服务中的dependabot vs whitesource
您对在 Azure DevOps 管道和 Visual Studio 中实施源组件分析有何看法。我无法决定是否在我们公司推广dependabot 或whitesource。你有什么优点和缺点可以分享吗?
azure-devops - Dependabot 无法使用poetry.lock 文件运行
我正在尝试在 azure devops 中运行dependabot。依赖文件是poetry.lock。在dependabot 运行时,它会扫描并更新许多依赖项,但总是在特定点失败,并且我收到以下错误“锁定文件中没有版本!”。问题是它没有告诉我哪个依赖项缺少版本。在先前成功的dependabot更新之后,我已经通过所有依赖项扫描了诗歌锁定文件,并且所有这些依赖项都指定了版本。有谁知道这个错误可能是指什么?
github - 生产和开发依赖组在dependabot中是什么意思?
dependabot 文档说您可以指示每个包管理器要检查的依赖项类型。但是,尚不清楚它如何区分开发包和生产包。其他选项非常简单(all、direct和indirect)。
如果您选择dependency-type: productionunder npm,我假设dependabot 将忽略devDependencies. 不幸的是,我不确定,因为文档没有提到该工具使用的具体标准。
有了pip,就更不清晰了。原因是因为没有概述需求文件命名约定的 PEP。既然你基本上可以有多个需求文件,但没有明确的名称规则,dependabot 怎么知道要检查哪一个?例如,我将 dev-requirements.txt 和 requirements_dev.txt 视为开发包文件。我知道选择一个或另一个(或者可能是另一种变体)并坚持使用它是一种最佳实践,但我想知道如果我dependency-type: development在pip.
github - Dependabot 电子邮件
我已经使用dependabot 大约一年了,最近(过去几个月)我开始收到一些以前从未收到过的电子邮件。我收到了两种类型的电子邮件,它们似乎有些规律:
- [GitHub] 12 月 28 日至 1 月 4 日这一周的 Dependabot 警报
- [acme/acme-repo] 您的存储库具有安全漏洞的依赖项
这导致以下问题:
- 这些电子邮件是新功能吗?
- 如果没有,是什么原因导致他们最近才开始?
- 为什么dependabot 向我发送有关漏洞的电子邮件,而不是仅打开 PR 的更典型行为。
我尝试检查 github 和dependabot 的文档,如果我收到有关更改的任何通信但找不到任何东西。
azure-devops - Azure DevOps - 使用现有 CI 管道运行计划任务
如果我想每月运行一次计划任务来检查过时的依赖项,但我已经有一个 CI 管道,我该怎么做?例如,我有一个通过代码嗅探 -> checkmarx + twistlock -> 部署到开发 -> 阶段和诸如此类运行的管道。这会在 master 上触发。我还想包括让dependabot的计划任务每月发生一次的能力。如何将此计划任务混合到已建立的 CI 管道中?这也都包含在 Azure Devops 中。
我只想每月运行一次dependabot的单个任务。我不想每个月运行一次整个管道
github - Dependabot 生成的 Pull Request 与 codeowners 文件和分支保护规则的自动合并?
我已经为 GitHub 操作创建了工作流,如下所述:https ://docs.github.com/en/code-security/supply-chain-security/keeping-your-dependencies-updated-automatically/automating-dependabot-with-github -行动
上面的自动化工作,但我有一个分支保护规则,需要代码所有者的审查。
有没有办法将其包含github-actions到 CODEOWNERS 文件中以使其批准被计算在内?