【发布时间】:2020-02-12 03:58:15
【问题描述】:
在我工作的一个 JS 库中,我已经从“dependabot”获得了一些 PR,例如 this one。
我知道他们正在尝试通过更新到更高版本的依赖项来提供帮助。但奇怪的是每个 PR 只更新 yarn.lock 中的依赖版本——这些不是我的库直接依赖的库。
接受这个有意义吗?我并没有真正认为 yarn.lock 文件本身就值得管理。
【问题讨论】:
标签: javascript npm dependency-management yarnpkg pull-request