Dependabot将不再尝试推断npm私有注册表的.npmrc配置。以前, Dependabot尝试从锁定文件解析的URL中重建.npmrc内容,但错误的锁定文件URL、npm、Yarn v1、Yarn Berry和pnpm之间的锁定文件格式差异以及其他边缘情况经常导致注册表身份验证失败。现在,您可以在dependabot.yml中的注册表上定义范围属性。
Dependabot使用此选项自动生成correct.npmrc。当提供范围时,它优先于所有其他.npmrc源,包括存储库中的任何committed.npmrc文件。这使得dependabot.yml成为注册表配置的权威源。如果您的存储库已包含checked-in.npmrc并且您尚未配置作用域,则Dependabot将继续使用它。
仅当您没有commit.npmrc并依赖于Dependabot的推断时,才需要scope属性。此功能适用于所有github.com用户,并将在GHES 3.23中提供。查看Dependabot配置文档并更新您的dependabot.yml,以将作用域添加到任何需要它的npm注册表中。Dependabot将不再尝试推断npm私有注册表的.npmrc配置。
以前, Dependabot尝试从锁定文件解析的URL中重建.npmrc内容,但错误的锁定文件URL、npm、Yarn v1、Yarn Berry和pnpm之间的锁定文件格式差异以及其他边缘情况经常导致注册表身份验证失败。更改内容现在可以在dependabot.yml中的注册表上定义scope属性。Dependabot使用此选项自动生成correct.npmrc。
当提供范围时,它优先于所有其他.npmrc源,包括存储库中的任何committed.npmrc文件。这使得dependabot.yml成为注册表配置的权威源。如果您的存储库已包含checked-in.npmrc并且您尚未配置作用域,则Dependabot将继续使用它。