如何让dependabot仅触发安全更新

Question

如何让dependabot仅触发安全更新

我正在使用 GitHub Dependabot.yml，版本 2。

version: 2
updates:
  # Nuget Packages
  - package-ecosystem: "nuget"
    directory: "/"
    schedule:
      interval: "monthly"

Run Code Online (Sandbox Code Playgroud)

我试图弄清楚是否有可能将它配置为仅当它们包含安全修复程序时才会更新依赖项，因为它可以为版本 1 完成

version: 1
update_configs:
 - package_manager: "dotnet:nuget"
   directory: "/"
   update_schedule: "monthly"
   allowed_updates:
     - match:
       update_type: "security"

Run Code Online (Sandbox Code Playgroud)

让我知道您是否遇到了同样的问题以及您是如何解决的。

谢谢

Answer 1

lee*_*eeb 17

根据 GitHub 支持，您可以将打开的拉取请求数设置为 0 dependabot.yml：

open-pull-requests-limit: 0

Run Code Online (Sandbox Code Playgroud)

这意味着它只会创建安全更新。

该文档似乎同意@leeb：“此选项对安全更新没有影响，安全更新有一个单独的内部限制，即十个打开的拉取请求。” （来自https://docs.github.com/en/code-security/supply-chain-security/keeping-your-dependency-updated-automatically/configuration-options-for-dependency-updates#open-pull-requests-限制） (5认同)
这个答案是不正确的。如果将拉取请求限制设置为 0，则会阻止 dependentabot 引发任何 PR，并出现以下错误：```` Dependabot 无法打开更多拉取请求已超出打开的拉取请求限制。当前限制为：0。一旦您合并或关闭已打开的拉取请求，Dependabot 将打开新的拉取请求。您还可以在配置文件中更新此限制。```` (2认同)

Answer 2

che*_*rui 4

是的，我遇到了同样的问题，然后我发现了类似这个github 社区线程的内容。

\n

\n
我记得在哪里看到过这个。当使用市场上的原始 dependentabot 时，一种配置选项是仅执行安全更新。我从我的一个存储库中得到了这一组。原始dependabot 中现在有一个选项，可以使用原始dependabot 中配置的设置生成dependabot.yml 配置文件（以帮助过渡到使用dependabot.yml）。当我对仅启用安全更新的存储库执行此操作时，我收到以下消息：
\n

\n

\n
您\xe2\x80\x99 正在使用不受支持的功能\n此存储库配置为仅扫描安全更新。不支持使用新配置文件配置安全更新。您可以从存储库安全设置第 18 页启用 Dependabot 安全更新。
\n

\n

听起来在dependabot v2中，他们已经将安全更新分离到UI配置中，这和GitHub操作秘密一样糟糕。但看起来您不再需要 dependentabot 来配置依赖项的安全补丁。

\n

让我知道这是否有帮助。

\n

归档时间：	5 年，1 月前
查看次数：	736 次
最近记录：	4 年，3 月前