对于GitHub Dependabot，dependabot.yml是强制的吗？

Question

是否必须添加dependabot.yml文件才能更新GitHub Dependabot？或者它只是一个更改默认值的附加选项？

https://docs.github.com/en/github/administering-a-repository/configuration-options-for-dependency-updates

Answer 1

配置文件是必需的，以便Dependabot知道要更新哪些环境。这是一个来自GitHub documentation的最低限度的示例，每天更新GitHub操作的依赖关系：

version: 2
updates:

  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      # Check for updates to GitHub Actions every weekday
      interval: "daily"

您还可以在table of the GitHub documentation中看到必要的配置。

Answer 2

从技术上讲，dependabot.yml并不是必需的--如果你从GitHub项目设置/安全性中打开了dependabot，它就会开始工作。我在没有YAML文件的情况下打开了https://github.com/coreinfrastructure/best-practices-badge，它起作用了。

但是，如果没有dependabot.yml文件，其他人就不会清楚地知道是否正在使用依赖项，这就是一个问题。例如，OpenSSF scorecard会查找dependabot.yml文件，以确定您的项目是否使用了dependabot来保持更新。让您的依赖项保持最新是很重要的，但同样重要的是，您的潜在用户知道您正在保持最新。因此，为了完全透明，最好将配置文件张贴在源代码库中。

它还会给你更多的控制权。