区分Dependabot安全和版本更新请求吗？

Question

我们已经为repos上的安全漏洞启用了Dependabot一段时间，但也只是将其设置为版本化更新。我的理解是，后者的配置选项也会影响前者，特别是在元数据选项方面，比如设置PR标签或标题。

既然如此，是否有办法区分Dependabot为安全漏洞打开的PR与它打开的PRs是因为它已经过时了，对于我们希望优先处理前者的情况呢？

Answer 1

我今天也遇到了同样的问题。我还没有找到一种方法来区分安全PRs和过时PRs与PRs本身，但是我已经发现了一些事情：

1. Dependabot的安全警报与您在dependabot.yml配置文件中设置的安全警报有一个独立的PR限制。这限制了听起来像是硬编码到10。
2. 如果您想对安全警报进行优先级排序，您可以更轻松地从repo：https://github.com/[user]/[repo]/security/dependabot的警报页面中进行排序。如果Dependabot为其中一个安全更新打开了一个PR，它就会在警报的右边有一个拉请求图标和链接。
3. 我认为Dependabot不会打开一个安全警报，如果一个现有的PR解决了这种依赖(它会告诉你同样多的警报页面)。因此，如果您看到您有没有任何生成的拉请求的安全警报，您可以尝试使用非安全的Dependabot PRs来查看它们是否解决了您的安全警报。
4. 最后一件可以尝试的事情是将非安全性的Dependabot限制在次要版本和补丁版本上。从理论上讲，这限制了解决安全问题的PR的数量，但也很难验证和合并，这可能有助于优先级的确定。

我希望这能帮到你!我肯定我也遗漏了一些东西，所以我很想看到这个问题的其他答案。