他の方のリポジトリを見るたびに、依存しているライブラリを定期的にバージョンアップされていることから、自分もそういう仕組を導入してみたいと思いました。
そろそろdependabotを導入することでそういう作業もやっていきたいなと思った次第です。

Dependabotについて

大きな役割は以下になります。

• リポジトリに依存しているライブラリのバージョンを package.json や go.mod といったマニフェストファイルから調べてくれる
• 必要に応じてライブラリの更新を行うPull Requestも自動で作成してくれる

Dependabotは上記のことをしてくれるbotのことです。

導入

Dependabotを設定するUIまでたどり着く

まずDependabotを導入するリポジトリの Insights > Dependency graph をクリックします。

すると、 Dependency graph 用の画面に切り替わります。
その画面に Dependabot というタブがあるのでクリックします。

まだDependabotを導入していない場合、このような画面が表示されます。

さっそく、「Enable Dependabot」をクリックすると画面が切り替わり、Dependabotの設定ができる状態になります。

Dependabotの設定を書く

上記の画面の「Create config file」をクリックすると、設定ファイルが書ける画面に切り替わります。

この画面の以下の箇所を修正することで、Dependabotがどのファイルをどれくらいの頻度で監視するかが決まります。

• package-ecosystem
  • 使用するパッケージマネージャーを指定する
  • 指定できる値
    • dependabot.yml ファイルの構成オプション - package-ecosystem
• schedule.interval
  • 更新を確認する頻度を指定する
  • 指定できる値
    • dependabot.yml ファイルの構成オプション - scheduleinterval

自分の場合、「npmで管理するリポジトリに対して毎日確認する」ということがしたかったので以下のように設定しました。

Dependabotの確認

上記の設定に問題がなければ、同じ画面の下部にコミットするUIがあるので、「Commit new file」をクリックします。

そうすると リポジトリ/.github/dependabot.yml という構成でファイルが生成されていることが確認できます。

リポジトリの Insights > Dependency graph > Dependabot の順でクリックをすると、監視対象となるマニフェストファイルが確認できます。

これでDependabotの導入は完了となります。

締め

依存しているライブラリのバージョンの確認をローカルで npm-check-updates といったパッケージから確認していましたが、これで人力ではなくbotに任せられるようになったので一安心だなと思いました。