Файл .github/dependabot.yaml — это конфигурационный файл для GitHub Dependabot. Он автоматически сканирует репозиторий на наличие устаревших или уязвимых зависимостей и автоматически создаёт Pull Request (PR) для их обновления.
В текущей версии у вас отслеживались только обновления для GitHub Actions (github-actions).
Я обновил этот файл, добавив автоматическое отслеживание для всех остальных частей вашего монорепозитория:
-
Python Backend (
/backend-api):package-ecosystem: "pip"— Dependabot умеет работать сpyproject.toml(который вы используете вместе сuv). Он будет анализировать зависимости Python и предлагать обновления.- Назначен лейбл
"backend".
-
Svelte Frontend (
/frontend-pwa):package-ecosystem: "npm"— проверяетpackage.jsonиpackage-lock.jsonвашего фронтенда.- Назначен лейбл
"frontend".
-
Документация Astro (
/docs):package-ecosystem: "npm"— отслеживает зависимости генератора документации Astro Starlight.- Назначен лейбл
"docs".
Как это будет работать теперь:
- Интервал: Каждый понедельник в 08:00 UTC Dependabot будет заходить во все 4 директории.
- Лимиты: Ограничение в максимум 5 одновременно открытых PR на каждый экосистему, чтобы не захламлять репозиторий.
- Оформление: Все коммиты авто-обновлений будут начинаться с префикса
chore(например,chore: bump svelte from 5.0.0 to 5.1.0), и к PR будут автоматически цепляться соответствующие лейблы, чтобы их было легко фильтровать.