Dependabot 版本更新现在支持 Bazel

Source: GitHub Changelog

Overview

开发者现在可以使用 Dependabot 自动保持 Bazel 依赖的最新状态。对于使用 Bazel（无论是 Bzlmod 还是 WORKSPACE）的项目，Dependabot 的版本更新能够确保依赖保持在最新发布版本。

特别感谢 Bazel 团队的贡献与合作，使得对 Dependabot 的支持得以实现。

Background

开源社区对 Bazel 支持 Dependabot 的最高需求包括：

• 正确的 lockfile 生成
• *.MODULE.bazel 支持
• WORKSPACE 支持（尽管即将废弃，但仍被广泛使用）

Bazel 使用两套依赖系统：

1. Bzlmod – 使用 MODULE.bazel 文件的现代系统。
2. WORKSPACE – 仍在使用的传统系统。

社区反馈显示许多团队仍依赖 WORKSPACE，因此我们实现了对两者的支持。Bazel 的 MODULE.bazel.lock 文件捕获了复杂的传递依赖图，包括模块扩展和仓库规则。锁文件生成不正确会导致可重复构建失败，因此 GitHub 团队与 Bazel 社区紧密合作，确保实现正确。

Community contributors

• Fabian Meumertzheim – 锁文件语义和行为匹配
• Yun Peng – 测试、验证和实现数据
• Alex Eagle – 文件命名约定和 *.MODULE.bazel 模式

感谢这些贡献者以及在预览支持阶段进行测试并提供反馈的所有人。

How it works

• Dependency detection – Dependabot 扫描你的 MODULE.bazel、*.MODULE.bazel 或 WORKSPACE 文件，并检查 Bazel 中央注册表以获取更新。
• Lockfile management – Dependabot 重新生成锁文件，以保持可重复构建。
• Pull requests – Dependabot 打开 PR，包含更新后的声明、重新生成的锁文件、发行说明以及兼容性信息。

Getting started

Requirements

• Bazel 7、8 或 9
• 仓库根目录下的 MODULE.bazel 或 WORKSPACE 文件

Next steps

• 与 Dependabot 开源社区 交流 Bazel 支持相关事宜。
• 在 Dependabot 版本更新文档 中了解更多信息。
• 了解更多关于 Bazel 的内容。