Dependabot バージョン アップデート

Dependabotを使用して、使用するパッケージを最新バージョンに更新することができます。

この機能を使用できるユーザーについて

Dependabot version updates は、次のリポジトリで使用できます。

  • GitHub のすべてのリポジトリ

この記事で

Dependabot version updates の概要

Dependabot が依存関係のメンテナンスの手間を省きます。 これを使用して、リポジトリが依存するパッケージおよびアプリケーションの最新リリースに自動的に対応できるようにすることができます。

Dependabot によって pull request が発生する場合、その pull request は、"セキュリティ" 更新プログラムか "バージョン" アップデートを対象としたものである可能性があります。

  • Dependabot security updates は、既知の脆弱性を持つ依存関係を更新するのに役立つ、自動化された pull request です。
  • Dependabot version updates は、依存関係に脆弱税がなくても、依存関係を最新の状態に維持する、自動化された pull request です。 バージョン更新の状態をチェックするには、リポジトリの [Insights] タブに移動し、[Dependency Graph] と [Dependabot] を選びます。

dependabot.yml の構成ファイルをリポジトリにチェックインすることで、Dependabot version updates を有効にできます。

Dependabot とすべての関連する機能は、GitHub の利用規約でカバーされています。

パッケージの更新

dependabot.yml構成ファイルは、マニフェストの場所、またはリポジトリに格納されている他のパッケージ定義ファイルの場所を指定します。 Dependabot では、この情報を使用して古いパッケージとアプリケーションを確認します。 Dependabot は、依存関係のセマンティック バージョン管理 (semver) を調べて、そのバージョンに更新する必要があるかどうかを判断することで、依存関係の新しいバージョンがあるかどうかを判断します。 サポートされているリポジトリとエコシステムについては、「Dependabot でサポートされているエコシステムとリポジトリ」を参照してください。

dependabot.yml ファイルは、依存関係を維持する方法Dependabot指示するように構成することもできます。 詳細については、「dependabot.yml ファイルについて」を参照してください。

特定のパッケージ マネージャーの場合、 Dependabot version updates はベンダーもサポートしています。 ベンダ (またはキャッシュ) された依存関係は、マニフェストで参照されるのではなく、リポジトリ内の特定のディレクトリにチェックインされる依存関係です。 パッケージサーバーが利用できない場合でも、ビルド時にベンダ依存関係を利用できます。 Dependabot version updates は、新しいバージョンのベンダーの依存関係を確認し、必要に応じて更新するように構成できます。

Dependabotが古い依存関係を識別すると、マニフェストを最新バージョンの依存関係に更新するプル要求が発生します。 ベンダー依存関係の場合、 Dependabot は、古い依存関係を新しいバージョンに直接置き換えるプル要求を発生させます。 テストに合格したことを確認し、プルリクエストの概要に含まれている変更履歴とリリースノートを確認して、マージします。 詳細については、「Dependabot バージョンの更新の構成」を参照してください。

_セキュリティ更新プログラム_を有効にした場合、Dependabotは、脆弱な依存関係を更新するためのプル要求も発生します。 詳細については、「Dependabot セキュリティ アップデート」を参照してください。

アクションの更新

多くの場合、アクションはバグ修正と新機能で更新され、自動プロセスの信頼性、速度、安全性が向上しています。 Dependabot version updatesのGitHub Actionsを有効にすると、Dependabotは、リポジトリの_workflow.yml_ ファイル内のアクションへの参照と、ワークフロー内で使用される再利用可能なワークフローを最新の状態に保つのに役立ちます。

ファイル内の各アクションについて、 Dependabot はアクションの参照 (通常は、アクションに関連付けられているバージョン番号またはコミット識別子) を最新バージョンと照合します。 アクションのより新しいバージョンが使用可能な場合、 Dependabot は、ワークフロー ファイル内の参照を最新バージョンに更新するプル要求を送信します。

Dependabot また、ワークフロー ファイルで再利用可能なワークフローの使用がチェックされ、再利用可能なワークフローと呼ばれる Git 参照が更新されます。

この機能を有効にするには、 Dependabot でアクションを最新に保つ を参照してください。

の自動非アクティブ化について Dependabot updates

リポジトリのメンテナが Dependabot pull request の操作を停止すると、Dependabot はその更新を一時的に停止し、そのことが通知されます。「Dependabot 更新の「プルリクエスト」が生成されなくなりました」を参照してください。

Dependabot バージョンの更新に関する通知について

GitHubで通知をフィルター処理して、Dependabotによって作成されたプル要求の通知を表示できます。 詳細については、「インボックスからの通知を管理する」を参照してください。