如何更改我的 dependentabot 配置以排除主要版本

Question

这是我的 dependentabot 配置，有什么方法可以排除主要版本更新而只进行次要更新、补丁和安全更新？如果是这样我需要改变什么？

version: 1
update_configs:
  - package_manager: 'javascript'
    commit_message:
      include_scope: true
      prefix: 'chore'
    default_reviewers:
      - someUser
    default_labels:
      - 'dependencies'
    directory: '/'
    target_branch: 'develop'
    update_schedule: 'live'

Answer 1

现在这是可能的，尽管您需要更新到 Dependabot 版本 2。然后您可以执行如下操作：

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "*"
        update-types: ["version-update:semver-major"]

有关详细信息，请参阅https://docs.github.com/en/code-security/dependabot/dependabot-version-updates/configuration-options-for-the-dependabot.yml-file#ignore 。

Answer 2

你可以做这样的事情。我们用它来忽略某些依赖项的某些版本。

- package-ecosystem: gomod
  directory: "/"
  schedule:
    interval: daily
    time: "04:00"
  open-pull-requests-limit: 10
  reviewers:
  - xh3b4sd
  ignore:
  - dependency-name: k8s.io/*
    versions:
    - ">=0.19.0"

我目前试图解决的一个问题是，一旦更新被忽略，如何自动恢复更新。现在看来您必须手动触发它们，当您有很多存储库时，这是一项相当艰巨的工作。