我们已经为仓库中的安全漏洞启用了Dependabot一段时间了,但也只是为版本更新设置了它。我的理解是,后者的配置选项也会影响前者,特别是当涉及到元数据选项时,如设置PR标签或标题。
考虑到这一点,是否有一种方法可以区分Dependabot为安全漏洞打开的pr与因为它只是过时而打开的pr,在我们想要优先考虑前者的情况下?
我今天遇到了完全相同的问题。我还没有找到一种方法来区分安全pr和过时的pr本身,但我已经弄清楚了一些事情:
- Dependabot的安全警报与您在
dependabot.yml配置文件中设置的安全警报具有独立的PR限制。这个限制听起来像是硬编码到10。 - 如果你想优先考虑安全警报,你可以更容易地在你的repo:
https://github.com/[user]/[repo]/security/dependabot的警报页面做到这一点。如果Dependabot为其中一个安全更新打开了PR,它会在警报的右侧有一个小的pull request图标和链接。 - 我认为Dependabot不会打开一个安全警报,如果一个现有的PR地址的依赖(它会告诉你尽可能多的警告页)。因此,如果您看到您有安全警报没有任何生成的拉取请求,您可以尝试通过非安全的Dependabot pr工作,看看他们是否解决您的安全警报。
- 最后一件要尝试的事情可能是限制非安全依赖仅为次要和补丁版本。理论上,这将限制pr的数量,这些pr既可以解决安全问题,又难以验证和合并,这可以帮助确定优先级。
我希望这对你有帮助!我肯定我也遗漏了一些东西,所以我很想看到这个问题的其他答案。
使用fetch-metadata操作,可以设置alert-lookup: true,当关联的PR与安全相关时,应该启用一些输出。缺点:需要使用PAT(没有尝试过GitHub应用令牌)