Dependabot仅更新锁定文件

时间:2020-02-13 06:18:40

标签: github package.json package-lock.json greenkeeper dependabot

我们最近已从greenkeeper切换到dependabot进行依赖检查,我们注意到dependabot正在打开仅更改package-lock.json的PR,而将package.json保留为是的。

另一方面,greenkeeper正在对两个文件进行更改。

这是怎么回事?是正常的还是我们错过了设置中的某些内容?

3 个答案:

答案 0 :(得分:1)

这是一个很晚的回复。我们已经在生产中工作了很长时间,但我看到仍有兴趣提示我,也许人们需要一些帮助。所以,这里是:

当使用 GitHub Dependabot 时(不是 dependabot-preview,虽然 conf 文件实际上可能是一样的):

它看起来像这样(例如 npm):

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    # Always increase the version requirement
    # to match the new version.
    versioning-strategy: increase

就是这样。现在,package.jsonpackage-lock.json 都随着版本增加而写入。

答案 1 :(得分:0)

类似的事情发生在我身上,可能是因为两件事:

  1. 在Dependendabot配置中,您只需要接受package-lock.json的更新
  2. (这是为我工作的那个)在密钥Name中的package.json中,在我有web-app符号-的情况下,您可能编写了不正确的符号使我无法更新它,现在我的名字为webapp

答案 2 :(得分:-2)

文件 package-lock.json 的目标是跟踪安装的每个软件包的确切版本,以便产品以相同的方式 100% 重现,即使软件包是由他们的维护者更新。 reference link is here

所以 package.json 和 package-lock.json 有不同的用途。

dependabot 尝试推送修改后的 package-lock.json 没有错误。

相关问题
最新问题