更新 GitHub Dependabot 是否必须添加该dependabot.yml文件?或者它只是更改默认值的附加选项?
小智 9
从技术上讲,dependabot.yml这不是必需的- 如果您从 GitHub 项目设置/安全性中打开 dependentabot,它将开始工作。我在没有 YAML 文件的情况下打开了https://github.com/coreinfrastruct/best-practices-badge并且它有效。
然而,如果没有文件,其他人并不明显看到 dependentabot 正在被使用dependabot.yml,这是一个问题。例如,OpenSSF 记分卡会查找该dependabot.yml文件以确定您的项目是否使用 dependentabot 来保持最新状态。是的,让您的依赖项保持最新状态很重要,但让您的潜在用户知道您正在保持最新状态也很重要。因此,为了完全透明,最好将配置文件发布在源存储库中。
它还会给你更多的控制权。
配置文件是必需的,以便 Dependabot 知道要更新哪些环境。这是GitHub 文档中的一个极简示例,用于每天更新 GitHub Actions 的依赖项:
version: 2
updates:
- package-ecosystem: "github-actions"
directory: "/"
schedule:
# Check for updates to GitHub Actions every weekday
interval: "daily"
您还可以在GitHub 文档的表格中查看必要的配置。
| 归档时间: |
|
| 查看次数: |
8020 次 |
| 最近记录: |