🥟

Dependabotでbun.lockを認識させる

2025/02/01に公開

背景

脆弱性を検知して修正PRを自動で作ってくれるなど便利なDependabotでは元々はnpmなどの主要なパッケージマネージャーはサポートしていたものの、bunはbun.lockbなどファイル形式の問題からもサポートされていませんでした。bunがv1.1.39からテキストベースのbun.lockをオプションとして提供し始めたことからDependabotでもサポートされるのでは?と待っていたところ、実際にPRが立ち先日マージされていることを確認したので、実際に設定をしてみようという趣旨の記事になります。

設定方法

.github/dependabot.yml
version: 2
enable-beta-ecosystems: true # これ
updates:
  - package-ecosystem: "npm"
    directory: "/path/to/directory"
    schedule:
      interval: "monthly"
    open-pull-requests-limit: 10
    allow:
      # 良しなに
    ignore:
      # 良しなに
  • enable-beta-ecosystemsを有効にすることでbun.lockを認識されるようになっている

まとめ

  • bun.lockがDependabotで(実験的に?)サポートされることになった
    • enable-beta-ecosystemsという機能が復活?したっぽい
    • Renovateではバイナリ形式の方もサポートされてるっぽい

参考

https://github.com/dependabot/dependabot-core/issues/6528
https://github.com/github/roadmap/issues/1101

Discussion