dependabot 只更新锁文件
dependabot only updates lock file
我们最近从 greenkeeper 切换到 dependabot 以进行依赖项检查,我们注意到 dependabot 正在打开 PR,仅更改 package-lock.json 离开 package.json原样。
另一方面,greenkeeper 正在提交对两个文件的更改。
这是怎么回事?这是正常现象还是我们在设置中遗漏了什么?
我也遇到过类似的事情,可能是因为两件事:
- 在 dependendabot 配置中,您只需接受 package-lock.json
的更新
- (这是对我有用的那个)在 package.json 中的键
Name 你可能用不正确的符号写在我的例子中我有 web-app 符号 - 导致我没有更新它,现在我拥有它作为 webapp。
文件 package-lock.json 的目标是跟踪 安装的每个包 的确切版本,以便产品可以 100% 重现即使软件包由其维护者更新,也是如此。
reference link is here
所以package.json和package-lock.json有不同的目的。
dependabot 尝试推送修改后的包时没有错误-lock.json。
这是一个很晚的回复。我们已经在生产中使用了很长时间,但我看到仍然有兴趣提示我,也许人们需要一些帮助。所以,这里是:
当使用GitHub dependabot时(不是 dependabot-preview,虽然conf文件可能是一样的,实际上):
- 在您的存储库的
.github 目录中创建一个 dependabot.yml 文件。
- 指定
increase 的 versioning-strategy。
它看起来像这样(例如 npm):
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
# Always increase the version requirement
# to match the new version.
versioning-strategy: increase
就是这样。现在,package.json和package-lock.json都是随着版本的增加而写入的。
我们最近从 greenkeeper 切换到 dependabot 以进行依赖项检查,我们注意到 dependabot 正在打开 PR,仅更改 package-lock.json 离开 package.json原样。
另一方面,greenkeeper 正在提交对两个文件的更改。
这是怎么回事?这是正常现象还是我们在设置中遗漏了什么?
我也遇到过类似的事情,可能是因为两件事:
- 在 dependendabot 配置中,您只需接受 package-lock.json 的更新
- (这是对我有用的那个)在 package.json 中的键
Name你可能用不正确的符号写在我的例子中我有web-app符号-导致我没有更新它,现在我拥有它作为webapp。
文件 package-lock.json 的目标是跟踪 安装的每个包 的确切版本,以便产品可以 100% 重现即使软件包由其维护者更新,也是如此。 reference link is here
所以package.json和package-lock.json有不同的目的。
dependabot 尝试推送修改后的包时没有错误-lock.json。
这是一个很晚的回复。我们已经在生产中使用了很长时间,但我看到仍然有兴趣提示我,也许人们需要一些帮助。所以,这里是:
当使用GitHub dependabot时(不是 dependabot-preview,虽然conf文件可能是一样的,实际上):
- 在您的存储库的
.github目录中创建一个dependabot.yml文件。 - 指定
increase的 versioning-strategy。
它看起来像这样(例如 npm):
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
# Always increase the version requirement
# to match the new version.
versioning-strategy: increase
就是这样。现在,package.json和package-lock.json都是随着版本的增加而写入的。