用于更新跟踪提交的go依赖项的Dependabot

Question

我正在尝试使用置信度自动更新私有的Go存储库。我当前的dependabot.yml如下所示：

version: 2
updates:
  - package-ecosystem: 'gomod'
    directory: '/'
    schedule:
      interval: 'daily'
    allow:
    - dependency-name: "<private-dependency>"

“私有依赖”不跟踪版本，因此我希望针对特定的分支进行更新。

我知道我可以通过运行go get private-dependency@branch手动完成这个任务，但是我找不到任何关于我是否可以通过Dependabot这样做的文档。

我可以创建一个用于运行命令和打开PR的Github操作，但是如果可能的话，我希望避免这样做。

Dependabot甚至支持更新跟踪分支的Go依赖关系吗？我怎么能用Dependabot做这件事？

Answer 1

我打开了一张Github的客户支持票，他们的官方回应是：

在与Engineering交谈后，发现根据戈朗文献的说法，基于提交的版本被认为是“伪版本”，并打算用于开发。Dependabot寻求稳定的版本，作为可能的更新建议。而不是开发版本。

根据这一点，Dependabot还不支持这个特性，但是他们可以接受一个特性请求。为了我们的目的，我们开始用SemVer标记我们的版本，这解决了这个问题。

只是留给后人和那些可能对此感兴趣的人一个答案。