🥟
Dependabotでbun.lockを認識させる
背景
脆弱性を検知して修正PRを自動で作ってくれるなど便利なDependabotでは元々はnpmなどの主要なパッケージマネージャーはサポートしていたものの、bunはbun.lockbなどファイル形式の問題からもサポートされていませんでした。bunがv1.1.39からテキストベースのbun.lockをオプションとして提供し始めたことからDependabotでもサポートされるのでは?と待っていたところ、実際にPRが立ち先日マージされていることを確認したので、実際に設定をしてみようという趣旨の記事になります。
設定方法
.github/dependabot.yml
version: 2
enable-beta-ecosystems: true # これ
updates:
- package-ecosystem: "npm"
directory: "/path/to/directory"
schedule:
interval: "monthly"
open-pull-requests-limit: 10
allow:
# 良しなに
ignore:
# 良しなに
-
enable-beta-ecosystems
を有効にすることでbun.lockを認識されるようになっている
まとめ
- bun.lockがDependabotで(実験的に?)サポートされることになった
- enable-beta-ecosystemsという機能が復活?したっぽい
- Renovateではバイナリ形式の方もサポートされてるっぽい
参考
Discussion