如何讓dependabot僅觸發安全更新
[英]How to get dependabot to trigger for security updates only
問題描述
我正在使用 GitHub Dependabot.yml,版本 2。
version: 2
updates:
# Nuget Packages
- package-ecosystem: "nuget"
directory: "/"
schedule:
interval: "monthly"
我試圖弄清楚是否有可能將它配置為僅當它們包含安全修復程序時才會更新依賴項,因為它可以為版本 1 完成
version: 1
update_configs:
- package_manager: "dotnet:nuget"
directory: "/"
update_schedule: "monthly"
allowed_updates:
- match:
update_type: "security"
讓我知道您是否遇到了同樣的問題以及您是如何解決的。
謝謝
2 個解決方案
解決方案1
4 2020-09-30 20:57:13
是的,我遇到了同樣的問題,然后我發現了類似github 社區線程的內容。
我記得我在哪里看到過這個。 使用來自市場的原始依賴機器人時,一種配置選項是僅執行安全更新。 我從我的一個存儲庫中獲得了該集合。 現在,原始dependabot 中有一個選項可以使用原始dependabot 中配置的設置生成dependabot.yml 配置文件(以幫助過渡到使用dependabot.yml)。 當我為僅啟用安全更新的存儲庫執行此操作時,我收到此消息:
您正在使用不受支持的功能 此存儲庫配置為僅掃描安全更新。 不支持使用新配置文件配置安全更新。 您可以改為從存儲庫安全設置頁面 18 啟用 Dependabot 安全更新。
聽起來像是在dependabot v2 中,他們已經將安全更新分離到UI 配置中,這與GitHub 操作秘密一樣糟糕。 但是看起來您不再需要依賴機器人來為依賴項配置安全補丁了。
如果這有幫助,請告訴我。
解決方案2
2 2021-07-05 10:17:58
據GitHub的支持,您可以設置開放拉請求0的數dependabot.yml :
open-pull-requests-limit: 0
這意味着它只會創建安全更新。
為復合操作中使用的操作啟用 GitHub Dependabot 更新
[英]Enable GitHub Dependabot Updates for actions used in Composite actions
區分 Dependabot 安全性和版本更新拉取請求?
[英]Distinguishing between Dependabot security and version update pull requests?
GitHub 的“Dependabot:自動安全修復”的可靠性和缺陷
[英]Reliability and flaws with GitHub's 'Dependabot: Automated security fixes'
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.