问题描述
我正在使用GitHubDependabot.yml,版本2。
version: 2
updates:
# Nuget Packages
- package-ecosystem: "nuget"
directory: "/"
schedule:
interval: "monthly"
我正在尝试确定是否有可能对其进行配置,以使依赖项仅在它们包括安全修复程序时才能更新,因为可以对版本1进行此操作
version: 1
update_configs:
- package_manager: "dotnet:nuget"
directory: "/"
update_schedule: "monthly"
allowed_updates:
- match:
update_type: "security"
让我知道您是否遇到相同的问题以及如何解决。
谢谢
解决方法
是的,我遇到了同样的问题,然后发现了类似github community thread的东西。
我记得在哪里看到的。使用市场上原始的Dependabot时,一种配置选项是仅执行安全更新。我有一个我的存储库中的那个。现在,原始的Dependabot中有一个选项,可以使用原始的Dependabot中配置的设置来生成一个dependabot.yml配置文件(以帮助过渡到使用dependabot.yml)。当我对仅启用安全更新的存储库执行此操作时,会收到以下消息:
您正在使用不受支持的功能 该存储库配置为仅扫描安全更新。不支持使用新的配置文件配置安全更新。您可以从存储库安全设置页面18启用Dependabot安全更新。
听起来像Dependabot v2中一样,他们已经将安全更新分离到UI配置中,这与GitHub操作秘密一样糟糕。但是看起来您不再需要Dependabot来配置依赖项的安全补丁。
让我知道是否有帮助。
,根据 GitHub 支持,您可以在 =(C2 - B2) + 1
中将打开的拉取请求数设置为 0:
dependabot.yml这意味着它只会创建安全更新。