区分依赖关系安全性和版本更新拉的请求？

Question

我们已经在存储库中启用了依赖性的安全漏洞，但也只是将其设置为版本化更新。我的理解是，后者的配置选项也会影响前者，尤其是在元数据选项时，例如设置PR标签或标题。

鉴于这一点，是否有一种方法可以区分依赖性依赖性的PR与安全漏洞打开的PR与它打开的PR，因为它只是过时的，对于我们要优先考虑前者的情况而已？

Answer 1

我今天遇到了完全相同的问题。我尚未找到一种将安全性PR和过时的PR与PRS本身区分开的方法，但是我已经弄清楚了一些事情：

1. Displyabot的安全警报对您在disterabot.yml 配置文件。限制听起来像是它的硬编码为10 。
2. 如果要优先考虑安全警报，则可以从仓库的“警报”页面上更轻松地完成此操作：https://github.com/ [user]/[repo]/[repo]/security/dissectabot。如果Displyabot为其中一个安全更新打开了PR，则它将在警报的右侧有一点拉动请求图标并链接。
3. 我认为，如果现有的PR地址为依赖关系，DiDeStabot将不会打开安全警报（在警报页面上会告诉您很多）。因此，如果您看到没有任何生成的拉请请求的安全警报，则可以尝试通过非安全性依赖性PRS来查看它们是否解决您的安全警报。
4. 最后要尝试的一件事可能是将非安全性依赖依性限制在次要版本和补丁版本中。从理论上讲，这限制了可以解决安全问题的PR数量，但也很难验证和合并，这可能有助于确定优先级。

我希望这会有所帮助！我敢肯定我也缺少一些东西，所以我很想看到这个问题的其他答案。

Answer 2

使用 fetch-metadata 操作，您可以设置arter> arter> arter-lookup：true ，这应该启用与安全性PR相关时填充的一些输出。缺点：需要使用PAT（没有尝试过GitHub应用程序令牌）