Dependabot 未升级 Maven SNAPSHOT 依赖项的主要版本答案

【问题标题】：Dependabot not upgrading major versions of Maven SNAPSHOT dependenciesDependabot 未升级 Maven SNAPSHOT 依赖项的主要版本
【发布时间】：2022-08-03 21:57:41
【问题描述】：

我已经安装了dependabot，但即使有一个新的次要版本的SNAPSHOT 依赖项可用，也找不到它。

采取以下pom.xml：

<project xmlns=\"http://maven.apache.org/POM/4.0.0\"
     xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\"
     xsi:schemaLocation=\"http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd\">
<modelVersion>4.0.0</modelVersion>
<groupId>com.org</groupId>
<artifactId>project</artifactId>
<version>2.4-SNAPSHOT</version>
<dependencies>
    <dependency>
        <groupId>com.org</groupId>
        <artifactId>dependency</artifactId>
        <version>1.1-SNAPSHOT</version>
    </dependency>
</dependencies>

使用以下dependabot.yml：

version: 2
registries:
  github-maven:
    type: maven-repository
    url: https://maven.pkg.github.com/my-org/*/
    username: admin
    password: rosebud
updates:
  - package-ecosystem: maven
    registries: \"*\"
    directory: /
    schedule:
      interval: daily

我的私人存储库中现在有一个1.2-SNAPSHOT - 我可以看到它已上传到https://maven.pkg.github.com/my-org/maven-repository/com/org/dependency/1.2-SNAPSHOT/dependency-1.2-20220714.094840-17.jar

查看 Dependabot 日志，很明显它从 maven-metadata.xml 中找到了 dependency 的所有版本，但实际上并没有获得任何这些版本。

updater | INFO <job_418367509> Checking if com.org:dependency 1.1-SNAPSHOT needs updating
  proxy | 2022/07/14 09:41:03 [176] GET https://repo.maven.apache.org:443/maven2/com/ci/dependency/maven-metadata.xml
  proxy | 2022/07/14 09:41:03 [176] 404 https://repo.maven.apache.org:443/maven2/com/ci/dependency/maven-metadata.xml
  proxy | 2022/07/14 09:41:03 [178] GET https://maven.pkg.github.com:443/my-org/*/com/ci/dependency/maven-metadata.xml
  proxy | 2022/07/14 09:41:03 [178] * authenticating maven repository request (host: maven.pkg.github.com)
  proxy | 2022/07/14 09:41:03 [178] 200 https://maven.pkg.github.com:443/my-org/*/com/ci/dependency/maven-metadata.xml
  proxy | 2022/07/14 09:41:03 [180] HEAD https://repo.maven.apache.org:443/maven2/com/ci/dependency/1.2-SNAPSHOT/dependency-1.2-SNAPSHOT.jar
  proxy | 2022/07/14 09:41:03 [180] 404 https://repo.maven.apache.org:443/maven2/com/ci/dependency/1.2-SNAPSHOT/dependency-1.2-SNAPSHOT.jar
  proxy | 2022/07/14 09:41:03 [182] HEAD https://maven.pkg.github.com:443/my-org/*/com/ci/dependency/1.2-SNAPSHOT/dependency-1.2-SNAPSHOT.jar
  proxy | 2022/07/14 09:41:03 [182] * authenticating maven repository request (host: maven.pkg.github.com)
  proxy | 2022/07/14 09:41:04 [182] 404 https://maven.pkg.github.com:443/my-org/*/com/ci/dependency/1.2-SNAPSHOT/dependency-1.2-SNAPSHOT.jar
  proxy | 2022/07/14 09:41:04 [188] HEAD https://repo.maven.apache.org:443/maven2/com/ci/dependency/1.1-SNAPSHOT/dependency-1.1-SNAPSHOT.jar
  proxy | 2022/07/14 09:41:04 [188] 404 https://repo.maven.apache.org:443/maven2/com/ci/dependency/1.1-SNAPSHOT/dependency-1.1-SNAPSHOT.jar
  proxy | 2022/07/14 09:41:04 [190] HEAD https://maven.pkg.github.com:443/my-org/*/com/ci/dependency/1.1-SNAPSHOT/dependency-1.1-SNAPSHOT.jar
  proxy | 2022/07/14 09:41:04 [190] * authenticating maven repository request (host: maven.pkg.github.com)
  proxy | 2022/07/14 09:41:04 [190] 404 https://maven.pkg.github.com:443/my-org/*/com/ci/dependency/1.1-SNAPSHOT/dependency-1.1-SNAPSHOT.jar
updater | INFO <job_418367509> Latest version is 
updater | INFO <job_418367509> Requirements to unlock update_not_possible
updater | INFO <job_418367509> Requirements update strategy 
updater | INFO <job_418367509> No update possible for com.org:dependency 1.1-SNAPSHOT

我思考问题是SNAPSHOT 版本的文件名中都有日期，虽然这在maven-metadata.xml 中列出，但 Dependabot 不支持。我无法将其验证为this is no longer a Maven behaviour you can change。

我的私有存储库中的非SNAPSHOT 依赖项可以与 Dependabot 一起正常工作，并且我的依赖项在 Maven 中解决了构建等问题。

标签： maven github dependabot

【解决方案1】：

这是 Dependabot 中的一个错误。

来自 GitHub 支持：

我们的工程师发现我们对 SNAPSHOT 包的支持存在问题一般的。他们已经为此打开了一个问题，但没有估计何时发布修复程序。

【讨论】：