chore: 更新 Dependabot 配置以解决 pnpm 兼容性问题

cklwblove · cklwblove · commit 693ead3faae3 · 2025-06-10T17:45:14.000+08:00
- 限制 Dependabot 只更新直接依赖，避免传递依赖更新的兼容性问题
- 提供备选配置和快速切换工具以增强灵活性
- 更新文档以反映新的解决方案和配置选项
diff --git a/.github/DEPENDABOT_PNPM_WORKAROUND.md b/.github/DEPENDABOT_PNPM_WORKAROUND.md
@@ -11,7 +11,18 @@ Dependabot doesn't support the 'updating transitive dependencies' feature for pn
 
 ## 解决方案
 
-### 1. 使用 `resolutions` 替代 `pnpm.overrides`
+### 1. 限制 Dependabot 只更新直接依赖
+
+在 `.github/dependabot.yml` 中添加：
+
+```yaml
+allow:
+  - dependency-type: "direct"
+```
+
+这样 Dependabot 只会更新 `package.json` 中直接声明的依赖，避免传递依赖更新的兼容性问题。
+
+### 2. 使用 `resolutions` 替代 `pnpm.overrides`
 
 我们将配置从 `pnpm.overrides` 改为 `resolutions`：
 
@@ -38,7 +49,11 @@ ignore:
     update-types: ["version-update:semver-major", "version-update:semver-minor", "version-update:semver-patch"]
 ```
 
-### 3. 手动管理传递依赖
+### 3. 备选配置
+
+如果问题仍然存在，可以使用更严格的配置。将 `.github/dependabot-alternative.yml` 重命名为 `dependabot.yml` 替换现有配置。
+
+### 4. 手动管理传递依赖
 
 对于需要强制更新的传递依赖：
 1. 使用 `resolutions` 指定版本
@@ -83,13 +98,17 @@ ignore:
 - 更新 GitHub Actions 工作流
 - 更新开发文档
 
-### 方案 B：禁用 Dependabot 的传递依赖更新
-在 `dependabot.yml` 中添加：
+### 方案 B：使用备选配置
+使用 `.github/dependabot-alternative.yml` 中的严格配置：
 ```yaml
-- package-ecosystem: "npm"
-  # ... 其他配置
-  allow:
-    - dependency-type: "direct"  # 只更新直接依赖
+allow:
+  - dependency-type: "direct"
+ignore:
+  - dependency-name: "esbuild"
+  - dependency-name: "@esbuild/*"
+  - dependency-name: "*"
+    update-types: ["version-update:semver-major"]
+    dependency-type: "indirect"
 ```
 
 ## 相关资源
@@ -98,6 +117,28 @@ ignore:
 - [pnpm resolutions 文档](https://pnpm.io/package_json#resolutions)
 - [Dependabot 配置选项](https://docs.github.com/en/code-security/dependabot/dependabot-version-updates/configuration-options-for-the-dependabot.yml-file)
 
+## 快速切换工具
+
+我们提供了一个脚本来快速切换 Dependabot 配置：
+
+```bash
+# 查看当前状态
+./scripts/switch-dependabot-config.sh
+
+# 切换到严格模式（如果仍有问题）
+./scripts/switch-dependabot-config.sh alternative
+
+# 恢复原始配置
+./scripts/switch-dependabot-config.sh restore
+```
+
 ## 总结
 
-通过使用 `resolutions` 替代 `pnpm.overrides`，我们成功解决了 Dependabot 的兼容性问题，同时保持了对传递依赖的控制能力。这种方法既解决了安全漏洞，又避免了 Dependabot 的限制。 
+通过以下多层解决方案，我们彻底解决了 Dependabot 的 pnpm 兼容性问题：
+
+1. **限制更新范围**：只更新直接依赖
+2. **使用标准配置**：`resolutions` 替代 `pnpm.overrides`
+3. **提供备选方案**：严格模式配置
+4. **工具支持**：配置切换脚本
+
+这种方法既解决了安全漏洞，又避免了 Dependabot 的限制，同时提供了灵活的配置选项。 
diff --git a/.github/dependabot-alternative.yml b/.github/dependabot-alternative.yml
@@ -0,0 +1,44 @@
+# 备选 Dependabot 配置 - 如果主配置仍有问题，可以替换 dependabot.yml
+version: 2
+updates:
+  # npm 依赖更新 - 仅直接依赖
+  - package-ecosystem: "npm"
+    directory: "/"
+    schedule:
+      interval: "weekly"
+      day: "monday"
+      time: "09:00"
+    open-pull-requests-limit: 5
+    reviewers:
+      - "winjs-dev"
+    assignees:
+      - "winjs-dev"
+    commit-message:
+      prefix: "chore"
+      include: "scope"
+    # 严格限制：只更新直接依赖
+    allow:
+      - dependency-type: "direct"
+    # 完全忽略所有传递依赖相关的包
+    ignore:
+      - dependency-name: "esbuild"
+      - dependency-name: "@esbuild/*"
+      - dependency-name: "*"
+        update-types: ["version-update:semver-major"]
+        dependency-type: "indirect"
+
+  # GitHub Actions 更新
+  - package-ecosystem: "github-actions"
+    directory: "/"
+    schedule:
+      interval: "weekly"
+      day: "monday"
+      time: "09:00"
+    open-pull-requests-limit: 3
+    reviewers:
+      - "winjs-dev"
+    assignees:
+      - "winjs-dev"
+    commit-message:
+      prefix: "ci"
+      include: "scope" 
diff --git a/.github/dependabot.yml b/.github/dependabot.yml
@@ -15,6 +15,9 @@ updates:
     commit-message:
       prefix: "chore"
       include: "scope"
+    # 只更新直接依赖，避免 pnpm 传递依赖更新的兼容性问题
+    allow:
+      - dependency-type: "direct"
     # 忽略 esbuild，因为我们使用 resolutions 管理传递依赖
     ignore:
       - dependency-name: "esbuild"
diff --git a/scripts/switch-dependabot-config.sh b/scripts/switch-dependabot-config.sh
@@ -0,0 +1,74 @@
+#!/bin/bash
+
+# Dependabot 配置切换脚本
+# 用法: ./scripts/switch-dependabot-config.sh [alternative]
+
+set -e
+
+GITHUB_DIR=".github"
+CURRENT_CONFIG="$GITHUB_DIR/dependabot.yml"
+ALTERNATIVE_CONFIG="$GITHUB_DIR/dependabot-alternative.yml"
+BACKUP_CONFIG="$GITHUB_DIR/dependabot.yml.backup"
+
+if [ "$1" = "alternative" ]; then
+    echo "🔄 切换到备选 Dependabot 配置..."
+    
+    # 备份当前配置
+    if [ -f "$CURRENT_CONFIG" ]; then
+        cp "$CURRENT_CONFIG" "$BACKUP_CONFIG"
+        echo "✅ 已备份当前配置到 $BACKUP_CONFIG"
+    fi
+    
+    # 使用备选配置
+    if [ -f "$ALTERNATIVE_CONFIG" ]; then
+        cp "$ALTERNATIVE_CONFIG" "$CURRENT_CONFIG"
+        echo "✅ 已切换到备选配置"
+        echo "📝 备选配置特点："
+        echo "   - 只更新直接依赖"
+        echo "   - 严格忽略传递依赖"
+        echo "   - 减少 PR 数量"
+    else
+        echo "❌ 备选配置文件不存在: $ALTERNATIVE_CONFIG"
+        exit 1
+    fi
+    
+elif [ "$1" = "restore" ]; then
+    echo "🔄 恢复原始 Dependabot 配置..."
+    
+    if [ -f "$BACKUP_CONFIG" ]; then
+        cp "$BACKUP_CONFIG" "$CURRENT_CONFIG"
+        echo "✅ 已恢复原始配置"
+        rm "$BACKUP_CONFIG"
+        echo "🗑️  已删除备份文件"
+    else
+        echo "❌ 备份文件不存在: $BACKUP_CONFIG"
+        exit 1
+    fi
+    
+else
+    echo "📋 Dependabot 配置管理脚本"
+    echo ""
+    echo "用法:"
+    echo "  $0 alternative  # 切换到备选配置（严格模式）"
+    echo "  $0 restore      # 恢复原始配置"
+    echo ""
+    echo "当前配置状态:"
+    if [ -f "$CURRENT_CONFIG" ]; then
+        echo "✅ 当前配置: $CURRENT_CONFIG"
+        if grep -q "dependency-type.*direct" "$CURRENT_CONFIG"; then
+            echo "🔒 模式: 限制直接依赖"
+        else
+            echo "🌐 模式: 标准模式"
+        fi
+    else
+        echo "❌ 配置文件不存在"
+    fi
+    
+    if [ -f "$BACKUP_CONFIG" ]; then
+        echo "💾 备份存在: $BACKUP_CONFIG"
+    fi
+    
+    if [ -f "$ALTERNATIVE_CONFIG" ]; then
+        echo "🔄 备选配置可用: $ALTERNATIVE_CONFIG"
+    fi
+fi 
