我想保护我的项目免于过早更新依赖项,以避免通过更新出现一些问题。
我遇到了minimumReleaseAge属性,但不确定是否真的对我有帮助。
我正在考虑以下场景。
我已发送
其中一个依赖项获得更新,但有一个问题在发布 2 天后得到修复。
所以将minimumReleaseAge设置为3。我的项目不是会在3天后更新到损坏版本,然后在5天后更新到修复版本吗?
如果您主要关心的是避免与已知问题的依赖,您可能需要更复杂的方法:
使用自动化策略:Renovate 允许您根据条件指定自动化策略。您可以定义规则来考虑发布期限之外的因素,例如已知问题或 CVE(常见漏洞和暴露)的存在。
使用锁文件和测试:另一个有效的策略是依赖锁文件(例如package-lock.json或yarn.lock)和测试。 Renovate 可以配置为仅在锁定文件中指定的范围内更新,并且您可以实施自动化测试来捕获更新引入的任何问题。
监控已知问题:设置监控工具或服务来跟踪依赖项的已知问题和 CVE。您可以配置 Renovate 以在应用更新之前检查这些问题。
手动干预:在关键情况下,您可以在允许 Renovate 更新特定依赖项之前引入手动批准步骤。这使您可以查看发行说明、检查已知问题并做出明智的决定。