昨天在 Github 上收到了应该是人生第一个 PR。
定睛一看,是我托管到 Github Page 的个人博客仓库,而且是一个私有仓库,理论上不应该收到 PR 。点进去仔细看了一下。
我的博客 https://luyao.tech 是基于 Hexo 搭建的,刚换了一个酷炫的主题,你可以去瞅瞅。
这个 PR 帮我升级了一个渲染 markdown 的 hexo 插件,阐述了原因,展示了 Release notes 和 Commits,并且告诉我 100% 可靠。让我忍不住就 Merge 了它的 PR ,然后通过 Github Actions 自动更新了博客。
提交 PR 的是一个叫 dependabot 的用户,听这名字就像个机器人,毕竟谁没见过 Telegram bot 嘛。点进主页一看,果然是。
https://docs.github.com/en/code-security/supply-chain-security/managing-vulnerabilities-in-your-projects-dependencies/configuring-dependabot-security-updates
这是官方介绍。简单描述一下,Dependabot 可以帮助你安全更新有漏洞的依赖项,Github 自动为符合这些前提条件的每个仓库启用 Dependabot 安全更新。
另外,你也可以在单个仓库的 Settings -> Security & analysis
页面进行配置。
当然,Dependabot 是开源的。主页在这里:https://github.com/dependabot 。感兴趣的同学可以看看具体的实现原理。
希望在微软加持下,有朝一日,Github 能帮我自动修 Bug ~