Описание тега dependabot
Dependabot создает запросы на вытягивание, чтобы обеспечить безопасность и актуальность ваших зависимостей.
1
ответ
Что такое фильтр поиска, чтобы увидеть все открытые запросы на вытягивание во всех ваших репозиториях GitHub
Может быть полезно просмотреть все открытые запросы на вытягивание во всех принадлежащих вам репозиториях, а не только в тех, которые были созданы (что заметно задокументировано на панели поиска). Пример: я активировал автоматические обновления безо…
10 янв '20 в 00:27
1
ответ
Почему Dependabot пытается пройти аутентификацию в JCenter?
Я включил Dependabot для своего проекта GitHub: https://github.com/t1/deployer Некоторое время он открывает проблемы, из-за которых он не может аутентифицироваться в JCenter, например https://github.com/t1/deployer/issues/163 Я не хочу предоставлять…
20 янв '20 в 10:25
0
ответов
Автоматические обновления безопасности Github для запроса на вытягивание
Я включил автоматические обновления безопасности в нескольких своих репозиториях на вкладке безопасности. Я ожидал бы, что зависимость от компонента автоматически создает запрос на перенос при обнаружении известной уязвимости. На данный момент мне н…
02 мар '20 в 17:10
2
ответа
Как я могу изменить конфигурацию зависимого компьютера, чтобы исключить основные версии
Это моя конфигурация зависимости, есть ли способ исключить обновления основной версии и получить только второстепенные, исправления и обновления безопасности? Если да, то что мне нужно изменить? version: 1 update_configs: - package_manager: 'javascr…
12 мар '20 в 10:29
0
ответов
Автообновление версии package.json с помощью Dependabot
Поэтому, когда Dependabot запускается и создает PR с обновлением библиотеки, он обновляет версию библиотеки в package.json и package-lock.json, но есть ли какая-либо конфигурация, которую я мог бы пропустить, что в каждом PR зависимого обновления па…
24 фев '20 в 15:50
0
ответов
Сколько времени должно занять зависимость от "Создание автоматического обновления безопасности"
Я попытался создать несколько после того, как увидел предупреждения в моем репо, но я ждал уже около часа, а PR все еще не созданы. Сколько времени нужно на создание PR?
04 мар '20 в 22:51
0
ответов
Скрипт Dependabot не извлекает обновления версий из частного репозитория nexus
Текущий рабочий процесс развертывания: Java с Maven. Зависимости, определенные в POM, с родителем в другом репо. Все артефакты хранятся в частном репозитории нексуса. Использование стандартного скрипта обновления по умолчанию в конвейере Gitlab. Доб…
07 июл '20 в 10:20
0
ответов
Dependabot говорит, что Kramdown нуждается в обновлении безопасности, но у меня нет гем-файла, в котором должна быть
Я получил предупреждение о зависимости (CVE-2020-14001 Уязвимые версии: < 2.3.0 Исправленная версия:2.3.0) от github для одной из моих страниц github (https://github.com/akademie-oeffentliches-gesundheitswesen/krisenmanagment). Это предупреждение до…
13 авг '20 в 20:44
0
ответов
Создать запрос на вытягивание для пакета зависимостей докеров, если он устарел
Платформа: GitHub CI / CD: Действия GitHub Дополнительные технологии: Docker с базовым образом Ubuntu Я создаю Dockerfile, и мне нужно установить пакет (например, Terraform). Каждый раз, когда "current_version" в " https://checkpoint-api.hashicorp.c…
22 май '20 в 18:38
3
ответа
зависит только обновляет файл блокировки
Мы недавно перешли с greenkeeper к dependabot для наших проверок зависимостей, и мы заметили, что dependabot меняются только PR открытия package-lock.json уходящий package.json как это было. С другой стороны, greenkeeper, фиксировал изменения в обои…
13 фев '20 в 09:18
0
ответов
Конфигурация Dependabot в зависимом скрипте
У нас есть частная установка gitlab, и я настроил dependabot-script и графики для некоторых репозиториев. Одно из репозиториев имеет .dependabot/config.yml в корне, и я ожидал, что dependabot-script работа будет читать config.yml но этого не произош…
09 янв '20 в 05:34
0
ответов
зависимость repo_name с дефисом кодируется в% 2D и генерирует неправильный URL
Это когда я использую docker run для зависимого скрипта и использую значение repo_name с дефисом. Он кодируется и генерирует неправильный URL. пример: my-repo - мой%2Drepo в URL-адресе gitlab.com/api/v4/../my%2Drepo/... Знаете ли вы, как это исправи…
09 янв '20 в 10:16
0
ответов
Как Dependabot может автоматически объединять запросы на вытягивание в зависимости от состояния сборки конвейеров Azure?
Если в Dependabot включено автоматическое изменение зависимостей и создание запросов на вытягивание для "главного", как можно автоматизировать эти запросы на вытягивание, чтобы они автоматически утверждались и объединялись, если ветка Dependabot про…
14 июн '20 в 03:56
1
ответ
Как узнать, какая версия Laravel больше не имеет уязвимости в безопасности
У меня есть проект Laravel на Github, и электронное письмо с зависимостью предупреждает меня об уязвимости безопасности в зависимости Laravel symfony/http-foundation (уязвимость находится в версиях>= 3.0.0 и < 3.4.26. Есть ли способ определить, кака…
05 авг '20 в 00:24
0
ответов
Влияют ли уязвимости модулей Node на приложения React Native?
У меня есть несколько предупреждений безопасности GitHub о некоторых модулях Node, используемых проектом React Native (изображение ниже). Как уязвимости модулей Node влияют на приложение React Native? Могут ли эти уязвимости представлять угрозу для …
08 апр '20 в 22:11
0
ответов
Обновление Github independentabot v2 при нажатии
Итак, я использую github independentabot v2 и имею такую конфигурацию: version: 2 updates: - package-ecosystem: npm directory: "/" schedule: interval: daily open-pull-requests-limit: 100 allow: - dependency-type: all Я хочу, чтобы он про…
04 сен '20 в 20:57
0
ответов
С какой целью мы поддерживаем файлы package-lock.json, которые не имеют уязвимостей безопасности? Почему бы просто не удалить их или позволить им устаревать?
package-lock.json хранит набор точных версий для всех зависимостей и транзитивных зависимостей, которые были установлены при последнем запуске npm update. Вам предлагается совершитьpackage-lock.json назад к вашему репо. Единственный реальный потреби…
14 авг '20 в 07:10
2
ответа
Как проверить зависимость перед объединением конфигурации
Есть ли способ проверить, что зависимость работает должным образом, перед тем, как объединить ее с моим репо? Я работаю в довольно большой команде и хочу убедиться, что могу протестировать функциональность перед объединением. У меня есть ветка, созд…
17 сен '20 в 20:21
1
ответ
Не удается разрешить предупреждение github Dependabot
Я получил это уведомление о безопасности: Remediation Upgrade node-fetch to version 2.6.1 or later. For example: node-fetch@^2.6.1: version "2.6.1" Но эта ошибка произошла.: Dependabot cannot create a pull request as one or more other depe…
25 сен '20 в 19:54
1
ответ
Как автоматически управлять и обновлять версию CDK с помощью Projen?
Контекст: Projen - отличный инструмент для создания (на основе JSII) проектов AWS CDK и управления ими. Задний план: Раньше я управлял зависимости CDK с RenovateBot "с group:aws-cdkMonorepo предустановка. Это приведет к тому, что RenovateBot создаст…
27 сен '20 в 14:59