- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我有一个目录 /experiments
在我的 repo 中,其中包含 - 惊喜! - 实验。那些通常自带 package.json
其中包括在我进行实验时是最新的依赖项,但现在可能已经过时了。我无意让它们保持最新状态,因为实验只是概念的证明——我可能想在项目后期使用的概念,但我会在主项目中重新实现。
不幸的是 Dependapot 在 /experiments
中向我发送了很多关于这些依赖项的 PR。 .其中许多需要我手动完成。
我并没有在 GitHub 上找到太多关于如何配置 Dependabot 的文档,但我想出了这个:/.github/dependabot.yml
:
version: 2
updates:
# Ignore experiments:
- package-ecosystem: "npm"
directory: "/experiments"
schedule:
interval: "daily"
ignore:
- dependency-name: "*"
虽然它似乎不起作用。今天我收到了 Dependabot 的另一个 PR,它在
/experiments
中遇到了一个依赖项| .它是自动合并的,所以我没有努力,但还是有点烦人。
最佳答案
我刚刚在这个 GitHub 问题中找到了答案:https://github.com/dependabot/dependabot-core/issues/2276
它说没有排除文件夹的配置,但您可以在您的 .github/dependabot.yml
中包含文件夹。配置文件。 Dependabot 将仅扫描其配置中包含的文件夹。
例如。以下配置将使 Dependabot 仅扫描您 .github/workflows/
中的 GitHub 操作文件夹,package.json
在您的存储库的根目录和 package.json
中在 client
文件夹。有了这个,experiments
文件夹不会被扫描。
version: 2
updates:
# --- GitHub Actions
- package-ecosystem: "github-actions"
directory: "/"
schedule:
interval: "daily"
# --- Root
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
# --- Client package
- package-ecosystem: "npm"
directory: "/client"
schedule:
interval: "daily"
关于github - 我可以从 GitHub Dependabot 中排除目录吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/65275433/
我刚收到一个依赖机器人说: Bump three from 0.120.1 to 0.125.0 但是它是否测试这不会破坏我的 repo 协议(protocol)? 它必须在我的 package.js
我们最近从 greenkeeper 切换到 dependabot 以进行依赖项检查,我们注意到 dependabot 正在打开 PR,只更改 package-lock.json,而 package.j
这是我的 dependabot 配置,有什么方法可以排除主要版本更新而只有次要更新、补丁和安全更新吗?如果是这样,我需要更改什么? version: 1 update_configs: - pac
在我今天的一个存储库中,我收到了以下安全通知: The kramdown gem before 2.3.0 for Ruby processes the template option inside
我不确定我的用例是否适合一个 dependabot,所以希望有人能告诉我是否适合,如果适合,请向我指出一些关于如何做我正在做的事情的文档描述: 我想创建的工作流程: 对每个开发者拉取请求运行 depe
我有一个 GitHub 操作,它在 CI 中针对在我的存储库中打开的每个拉取请求运行测试。 作为测试工作流程的一部分,该工作检查了 GitHub 组织中的其他几个存储库(所有这些都是私有(privat
我有一个目录 /experiments在我的 repo 中,其中包含 - 惊喜! - 实验。那些通常自带 package.json其中包括在我进行实验时是最新的依赖项,但现在可能已经过时了。我无意让它
我们已经使用Dependabot和Snyk来检测GitHub托管代码存储库中的漏洞,但它们仅支持我们正在使用的某些当前语言(NodeJS,Java,JavaScript,Kotlin和Swift),所
正如标题所说,在 GitHub 上是否可以手动选择 Dependabot 应针对其打开其 pull 请求的分支? 从我所看到的,它会针对在 repo 设置中设置为主要分支的任何分支打开 PR,但是可以
我需要一些关于 的帮助依赖机器人 .我最近发现了这个惊人的包,但是我的一些存储库需要 的依赖项私有(private)包 ,由我创建并用于我的个人项目。 Dependabot 表示,对于任何使用私有(p
我已经迁移了一个私有(private) GitHub 存储库以使用 new Dependabot (进入 GitHub),现在 Dependabot 徽章在我的 README.md 上显示为非事件状态
我如何在 https://github.com/{user}/{repo}/security/dependabot?page=1&q=is%3Aopen 处获取可用的 Dependabot 警报列表通
我已经按照此处所述为 GitHub Actions 创建了工作流:https://docs.github.com/en/code-security/supply-chain-security/keep
我是一名优秀的程序员,十分优秀!