问题标签 [dependabot]

如何针对功能分支运行dependabot？

我试图做的是找到第三方包的漏洞（不在默认分支中）

这是我的dependabot.yml 文件配置，它存储在.github directory

但是当我仍然推送时，dependabot 正在针对不在功能分支中的主分支运行

注意：我的应用程序是 Angular 应用程序

我继承了 prismjs 的一个问题，每次添加/升级​​另一个包时我都必须删除/重新安装它。

我有一个 gocd 管道验证，每次我尝试使用dependabot 来解决我的存储库中的安全漏洞时都会失败。

像这样的事情......

dependabot 生成拉取请求

验证失败并出现错误“警告 Lockfile 的“prismjs@1.24.0”条目不正确。忽略它”

拉下master分支>手动升级包>删除/安装prismjs@1.24.0

生成新的 PR > 验证成功，一切正常。

与主合并

冲洗并重复。

我看到的是，我的 yarn.lock 中有 2 个条目用于 prismjs，删除它只会删除 1.24.0 条目，如果我删除 1.24.0，验证仍然失败，因为它找不到 prismjs 1.24.0。

prismjs@1.24.0:
version "1.24.0"
resolved "https://registry.yarnpkg.com/prismjs/-/prismjs-1.24.0.tgz#0409c30068a6c52c89ef7f1089b3ca4de56be2ac" integrity sha512-SqV5GRsNqnzCL8k5dfAjCNhUrF3pR0A9lTDSCUZeh/LIshheXJEaP0hwLz2t4XHivd2J/v2HR+gRnigzeKe3cQ==

prismjs@^1.23.0，prismjs@^1.8.4，prismjs@~1.17.0：
版本“1.26.0”已
解决“https://registry.yarnpkg.com/prismjs/-/prismjs-1.26.0.tgz #16881b594828bb6b45296083a8cbab46b0accd47" 完整性 sha512-HUoH9C5Z3jKkl3UunCyiD5jwk0+Hz0fIgQ2nbwU2Oo/ceuTAQAg+pPVnfdt2TJWRVLcxKh9iuoYDUSc8clb5UQ==

package.json:
"依赖": {
"comma-separated-tokens": "^1.0.0",
"elliptic": "^6.0.0",
"handlebars": "^4.1.2",
"http-proxy "："^1.17.0"，
"https-proxy-agent"："^2.2.1"，
"immer"："9.0.6"，
"ini"："^1.3.5"，
"lodash"：" ^4.5.1",
"markdown-to-jsx": "^6.9.1",
"merge-deep": "^3.0.2",
"nested-object-assign": "1.0.4",
"parse -headers”：“^2.0.0”，
“prismjs”：“1.24.0”，
“空格分隔标记”：“^1.0.0”、
“ssri”：“^6.0.1”、
“tar”：“4.4.19”、
“tree-kill”：“^1.1.0”、
“ua-parser-js”：“^0.7.9 ",
"url-parse": "^1.4.3",
"websocket-extensions": ">=0.1.1",
"y18n": "^4.0.0",
“yargs-parser”：“^13.1.1”
}，
“分辨率”：{
“prismjs”：“^1.23.0”，
“property-expr”：“^2.0.3”

我对这个版本控制的工作方式相对较新，就像我说我继承了这个问题一样，所以除了我在 github 中看到的内容之外，我并没有真正的历史。

任何帮助将不胜感激。

我们有一个支持 php5 和 php7 的单体 php 应用程序。我们正在努力将应用程序的所有部分仅迁移到 php7，但在此过程中，我们有两个作曲家清单 -composer.json和composer.php7.json. 两者都在同一个目录中。在dependabot.yml 中，我们有配置来检查该目录中的作曲家清单，但它只查找和分析composer.json. 是否可以 1. 告诉dependabot 查找所有 composer*.json 或 2. 在dependabot.yml 中定义两次作曲家并指定清单的直接路径？

我对结论有点草率，并忽略了一个我不应该有的警报。我在 UI、关于 Dependabot 的文章和 Github API 中都找不到任何可以让我恢复该操作的内容。

可能吗？这可以恢复吗？或者也许它是一个正在开发的功能，并且有一天可以发布？

我不确定我的用例是否适合一个依赖机器人，所以希望有人能告诉我它是否适合，如果是，请向我指出一些关于如何做我所描述的事情的文档：

我想创建以下工作流程：

1. 对每个开发者拉取请求运行dependabot扫描
2. dependabot 仅报告新引入或更新的依赖项
3. 拉取请求被任何具有中等或更高漏洞的新依赖项阻止
4. 由于 PR 扫描，dependabot 不会创建 PR

这可能吗？

GitHub dependabot 安全警报有时可能会成为一件苦差事，尤其是当一个不再活跃的废弃项目收到频繁的安全建议时。是否有禁用主动安全监控的选项？

我试图在最新的 python 版本之后保持一个小版本，我希望使用dependabot 来帮助解决这个问题。

我使用 python slim docker 图像作为我的基本图像，并基于它加上dependabot 文档，我在我的dependabot.yml 中添加了以下内容：

这是行不通的。然而，当我告诉 3.10 PR “忽略这个次要版本”时，它成功了，并声明它不会再打扰我关于 3.10.x 版本的问题，所以很明显逻辑就在那里

我正在按照本指南使用他们新发布的 API 更新 Github 的dependabot 机密。

有一部分说我需要使用公钥加密我的秘密值

我的问题是，这个公钥是从哪里来的？在为我的 repo 配置dependabot 时，我不记得设置任何密钥。

我刚刚开始使用 Dependabot 并遇到了其中一个警报的问题。我一直在寻找如何处理此类漏洞的答案，但没有找到任何适当的资源。我可以看到它是我的 deps 的依赖项，因此它会影响 package-lock 文件。

以下是 Dependabot 提供的内容：

glob-parent我的文件中没有package.json- 它只是我的其他依赖项的依赖项。处理此类警报的态度是什么？我dismiss应该吗？据我所知，手动更改包锁不是要走的路。