我们希望使用 Dependabot 来了解更新的依赖项,但我们不希望 Dependabot 自行创建拉取请求,也不希望自动构建(我们使用 GitHub 进行代码,使用 Azure DevOps 进行构建)。
文档中没有明确的提示(https://docs.github.com/en/code-security/dependabot/working-with-dependabot/automating-dependabot-with-github-actions https://docs.github.com/en/code-security/dependabot/working-with-dependabot/automating-dependabot-with-github-actions) 去做这个。
我们已经尝试排除 dependentabot 分支,但这在任何形式下都不起作用。
# Azure DevOps Excludes
pr:
autoCancel: "true"
branches:
exclude:
- dependabot/*
- dependabot/**/*
我们还在 Stack Overflow 上发现了将限制设置为 0 的提示,但仍然创建了 PR
version: 2
updates:
- directory: "/"
open-pull-requests-limit: 0
是否有可能使用 Dependabot 作为信息源?
-
转到安全 -> Dependabot -> 配置 -> 管理存储库漏洞设置。 (这应该会将您带到类似的 URLhttps://github.com/yourusername/yourreponame/settings/security_analysis https://github.com/yourusername/yourreponame/settings/security_analysis.)
-
启用“Dependabot 警报”设置,但确保“Dependabot 版本更新”设置已启用disabled.
如果您之前启用了“Dependabot 版本更新”,您将拥有.github/dependabot.yml https://docs.github.com/en/code-security/dependabot/dependabot-version-updates/configuration-options-for-the-dependabot.yml-file您的存储库中的文件,其目的是配置 Dependabot 的自动更新。要禁用它们,请删除dependabot.yml
.
图片中:
您现在仍然可以在 GitHub 上查看有关依赖项的安全警报,但 Dependabot 不会为它们打开 PR。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)