正文自动升级工具能显著降低依赖维护成本,但需要结合分组、频率与审批流来控制风险。本文提供 Dependabot 与 Renovate 的配置示例与治理建议。
一、Dependabot 配置version: 2
updates:
- package-ecosystem: npm
directory: /
schedule:
interval: weekly
open-pull-requests-limit: 10
allow:
- dependency-type: production
ignore:
- dependency-name: react
versions: ["<19"]
二、Renovate 配置{
"extends": ["config:recommended"],
"rangeStrategy": "replace",
"packageRules": [
{ "matchPackagePatterns": ["^next$", "^react"], "groupName": "framework-core", "schedule": ["on the first day of the month"] },
{ "matchUpdateTypes": ["minor", "patch"], "groupName": "safe-updates", "automerge": false }
],
"timezone": "Asia/Shanghai"
}
三、审批与发布治理频率与窗口:为核心框架设置月度窗口;安全修补设为每周窗口。分组与标签:将框架核心与工具链分组,标注风险等级与测试范围。审批流:所有升级经 CI 通过后需至少双人评审与环境验证方可合入与发布。
发表评论 取消回复