Python Dependabot 的自动升级规则

dependabot 仅升级 dependabot.yml 中明确配置的 package-ecosystem 和 Directory 路径下的依赖，依赖识别需匹配锁文件与版本策略，忽略规则须按语义版本精确声明。

Dependabot 会升级哪些依赖？看 dependabot.yml 的 package-ecosystem 和 directory

Dependabot 不是全量扫你项目里所有文件，它只认配置里明确声明的生态和路径。比如你写 package-ecosystem: pip，它就只管 requirements.txt 或 pyproject.toml（得带 [build-system] 或 [project.dependencies]）；写 directory: "/backend"，那 /frontend/requirements.txt 就直接被忽略。

常见错误现象：Dependabot PR 没出现，或只升了部分依赖——八成是 directory 路径没对上，或者 pip 生态没识别到 pyproject.toml 的现代格式。

• pyproject.toml 必须含依赖声明段，纯构建配置（如 [build-system]）不触发升级
• poetry 项目需显式设 package-ecosystem: poetry，不能靠文件名自动推断
• 子目录多环境时（如 /services/api/ 和 /services/worker/），每个都要单独配 directory

版本范围怎么写才让 Dependabot 真正生效？重点看 versioning-strategy 和锁文件

Dependabot 升级行为高度依赖你有没有锁文件，以及怎么写 versioning-strategy。它默认不改 requirements.txt 里的 == 版本，但会升 ~= 或 >= 范围——前提是存在 pip-compile 生成的 requirements.txt 锁文件，或 poetry.lock。

常见错误现象：PR 显示 “no updates available”，但明明有新补丁版——大概率是你用 pip install package 直接写死 ==1.2.3，没锁文件，Dependabot 就当这是“固定策略”，不碰。

立即学习“Python免费学习笔记（深入）”；

• versioning-strategy: lockfile-only 是最稳的选择，只更新锁文件，不碰 pyproject.toml 的约束行
• 用 pip-tools 的项目，确保 CI 中运行 pip-compile --upgrade 后提交 requirements.txt
• poetry 用户别关 allow-prereleases: false，否则 2.0.0b1 这类预发布版永远进不来

为什么 Dependabot PR 总是失败？检查 update-config 和 CI 环境一致性

Dependabot PR 失败，90% 和你的 CI 流程有关，不是它配置错了。它拉起的 PR 默认复用你主分支的 .github/workflows/ci.yml，但环境变量、python 版本、甚至 pip 版本可能不一致。

常见错误现象：pip install -r requirements.txt 在本地成功，在 Dependabot PR 中报 Could not find a version that satisfies...——往往因为 CI 里用了旧版 pip，不支持 PEP 660 或 pyproject.toml 构建逻辑。

• 在 CI 中加一步 python -m pip install --upgrade pip setuptools wheel
• 避免在 setup.py 里动态读取 git describe 或环境变量，Dependabot 构建时没 git history
• update-config 里别设 target-branch: dev，除非你确定 dev 分支的 CI 配置完全兼容主干依赖升级逻辑

跳过某些包不升级？用 ignore 列表，但注意通配符和语义版本边界

ignore 不是黑名单，它按语义版本规则匹配。写 dependency-name: "django" + versions: ["，意思是“只要新版 >=4.2 就允许升”，而不是“永远不升 django”。想彻底禁用，得用 <code>versions: ["*"]。

常见错误现象：加了 ignore 还收到某包 PR——可能是通配符没生效，比如 "requests>=2.28.0" 在 requirements.txt 里，但 ignore 只写了 "requests"，Dependabot 会按完整 spec 解析，匹配失败。

• 忽略整个包：用 dependency-name: "package-name" + versions: ["*"]
• 忽略特定范围：写清楚 " 或 <code>"~>1.2"，别用模糊描述如 "old"
• 多个包要分别列，ignore 不支持 django, flask 这种逗号分隔写法

Dependabot 的规则本质是「配置驱动 + 锁文件感知」，脱离锁文件谈升级策略，基本等于在猜；而跨生态混用（比如 pip 项目里塞了 nodejs 工具链）时，它的路径识别和版本解析很容易失效——这些地方最容易被当成“bug”去调，其实只是配置没对齐。