如何禁用或忽略Dependabot请求？

Question

我们希望使用Dependabot了解更新的依赖项，但我们不希望Dependabot自己创建拉请求，也不希望自动构建(我们使用GitHub表示代码，Azure DevOps用于构建)。

在docs (https://docs.github.com/en/code-security/dependabot/working-with-dependabot/automating-dependabot-with-github-actions)中没有明确的提示可以这样做。我们已经尝试将依赖分支排除在外，但这在任何形式上都不起作用。

# Azure DevOps Excludes
pr:
  autoCancel: "true"
  branches:
    exclude:
    - dependabot/*
    - dependabot/**/*

我们还在堆栈溢出上找到了将限制设置为0的提示，但仍然创建了PRs。

version: 2
updates:
  - directory: "/"
    open-pull-requests-limit: 0

是否有可能使用Dependabot作为信息源？

Answer 1

1. 转到Security -> Dependabot -> Configure -> Manage Repository漏洞设置。(这将带您进入像https://github.com/yourusername/yourreponame/settings/security_analysis.)
2. Leave这样的URL - "Dependabot警报“设置已启用，但"Dependabot版本更新”设置已禁用.

​

​

​

​

您现在仍然可以查看有关您对GitHub的依赖关系的安全警报，但是Dependabot不会为它们打开PRs。

Answer 2

默认情况下，Dependabot将自动重置拉请求以解决任何冲突。如果您喜欢手动处理合并冲突，则可以使用rebase-strategy选项禁用此功能。

对于重基策略，使用disabled禁用自动重基。

设置此选项还会影响对此包管理器的清单文件进行安全更新的请求，除非您使用target-branch检查非默认分支上的版本更新。

以rebase-strategy为例，

version: 2

updates:

  - directory: "/"

    schedule:

      interval: "daily"

    # Disable Dependabot pull requests

    rebase-strategy: "disabled"