dependabot 是否进行测试以确保它不会破坏构建?
Does dependabot test to make sure it does not break the build?
我刚收到一个依赖机器人说:
Bump three from 0.120.1 to 0.125.0
但是它是否测试这不会破坏我的回购协议?
它必须 运行 在我的 package.json 中“构建”和“测试”。实际上 运行 我所有的演示都是为了测试它们在 Chrome 开发工具中没有错误。
How do I test dependabot before merging config 提到了一个配置,但它看起来很基础而且 dependabot 文档非常嘈杂!
Dependabot 有一些 compatibility score 的概念,以确保您对版本颠簸充满信心。但是对于许多依赖项更新,它们也缺乏兼容性分数。
此外,dependabot PR 与常规 PR 类似,这意味着您应该自行构建 PR 以确保兼容性。
最后,从技术上讲,库维护者应该遵循semver,所以你只需要检查主要升级的PRs。
不要太相信 Dependabot compatibility score,尤其是 unknown。
作为预防层,您可以设置 GitHub action workflow or GitLab CI/CD pipeline 可以在 pull_request 上触发,检查依赖项兼容性并运行所需的测试。
我刚收到一个依赖机器人说:
Bump three from 0.120.1 to 0.125.0
但是它是否测试这不会破坏我的回购协议?
它必须 运行 在我的 package.json 中“构建”和“测试”。实际上 运行 我所有的演示都是为了测试它们在 Chrome 开发工具中没有错误。
How do I test dependabot before merging config 提到了一个配置,但它看起来很基础而且 dependabot 文档非常嘈杂!
Dependabot 有一些 compatibility score 的概念,以确保您对版本颠簸充满信心。但是对于许多依赖项更新,它们也缺乏兼容性分数。
此外,dependabot PR 与常规 PR 类似,这意味着您应该自行构建 PR 以确保兼容性。
最后,从技术上讲,库维护者应该遵循semver,所以你只需要检查主要升级的PRs。
不要太相信 Dependabot compatibility score,尤其是 unknown。
作为预防层,您可以设置 GitHub action workflow or GitLab CI/CD pipeline 可以在 pull_request 上触发,检查依赖项兼容性并运行所需的测试。