зависит только обновляет файл блокировки
Мы недавно перешли с greenkeeper к dependabot для наших проверок зависимостей, и мы заметили, что dependabot меняются только PR открытия package-lock.json уходящий package.json как это было.
С другой стороны, greenkeeper, фиксировал изменения в обоих файлах.
Что здесь происходит? Это нормально или мы что-то упустили в настройках?
3 ответа
Это очень поздний ответ. У нас это уже давно работает, но я вижу, что интерес все еще подсказывает мне, что, возможно, людям нужна помощь. Итак, вот оно:
При использовании зависимости GitHub ( не
dependabot-preview, хотя на самом деле файл conf может быть таким же):
- создать
<tcode id="53290910"></tcode> файл в вашем репо
.githubкаталог. - указать версии-стратегию в
increase.
Это будет выглядеть примерно так (например,
npm):
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
# Always increase the version requirement
# to match the new version.
versioning-strategy: increase
Вот и все. Теперь,
package.json и
package-lock.json оба записываются с увеличением версии.
Цель файла package-lock.json - отслеживать точную версию каждого установленного пакета , чтобы продукт был на 100% воспроизводимым таким же образом, даже если пакеты обновляются сопровождающими. ссылка здесь
Итак, package.json и package-lock.json имеют разные цели.
Нет ошибки при попытке зависимого от файла package-lock.json отправить только модифицированный файл package-lock.json.
Что-то похожее случилось со мной, это может быть по двум причинам:
- В конфигурациях dependendabot вам нужно только принимать обновления для package-lock.json
- (Это был тот, который работал у меня) в package.json в ключе
Nameвы могли написать неправильными символами, в моем случае у меня былоweb-appсимвол-заставил меня не обновлять его, и теперь он у меня какwebapp.