]> git.bitcoin.ninja Git - rust-lightning/commit
Rip out dependabot - its worse than useless - its annoying 2022-07-screw-dependabot
authorMatt Corallo <git@bluematt.me>
Wed, 13 Jul 2022 19:33:25 +0000 (19:33 +0000)
committerMatt Corallo <git@bluematt.me>
Wed, 13 Jul 2022 20:04:54 +0000 (20:04 +0000)
commita911ca84ebc8b44101278106cb609b607736cccc
tree8250100b92c716021dca6b2c507f2f7eb5b556e2
parentf3d5b945c3c9d5b1d9abb3d1cd58f4159d1084e3
Rip out dependabot - its worse than useless - its annoying

Dependabot has a ton of issues with its rust integration that makes
it wholly useless, and very annoying:
 * It has no concept of MSRV, opening PRs that are not going to pass
   CI.
 * It has no concept of patch-level - if we depend on tokio 1.X,
   that means any version of tokio > 1.X, but dependabot insists on
   opening a PR to "update us" to tokio 1.X + 1, even though it
   doesn't impact what version of our users use (and often violates
   MSRV).
 * It has no concept of dependencies that rely on each other,
   causing it to open a PR to update us to bitcoin_hashes X + 1,
   even though we're still depending on rust-bitcoin Y which
   depends on bitcoin_hashes X, causing build failure.
 * It hogs CI resources, getting CI run twice, once for the branch
   once for the PR.
 * It creates branches directly on the rust-lightning repo, making
   it look like the work is somehow connected to the
   lightningdevkit project, even though it isn't, and spamming the
   local clones of project contributors.

At the end of the day, dependabot has never meaningfully
contributed to notifying us of an important dependency, and,
really, we don't have enough dependencies for it to matter.
.github/dependabot.yml [deleted file]