🤖

GitHubリポジトリにDependabotを導入する

2022/12/16に公開約2,600字

他の方のリポジトリを見るたびに、依存しているライブラリを定期的にバージョンアップされていることから、自分もそういう仕組を導入してみたいと思いました。
そろそろdependabotを導入することでそういう作業もやっていきたいなと思った次第です。

Dependabotについて

大きな役割は以下になります。

  • リポジトリに依存しているライブラリのバージョンを package.jsongo.mod といったマニフェストファイルから調べてくれる
  • 必要に応じてライブラリの更新を行うPull Requestも自動で作成してくれる

Dependabotは上記のことをしてくれるbotのことです。

導入

Dependabotを設定するUIまでたどり着く

まずDependabotを導入するリポジトリの Insights > Dependency graph をクリックします。

Insights > Dependency graph

すると、 Dependency graph 用の画面に切り替わります。
その画面に Dependabot というタブがあるのでクリックします。

Dependency graph > Dependabot

まだDependabotを導入していない場合、このような画面が表示されます。

Enable Dependabot

さっそく、「Enable Dependabot」をクリックすると画面が切り替わり、Dependabotの設定ができる状態になります。

Ready to create config

Dependabotの設定を書く

上記の画面の「Create config file」をクリックすると、設定ファイルが書ける画面に切り替わります。

config file

この画面の以下の箇所を修正することで、Dependabotがどのファイルをどれくらいの頻度で監視するかが決まります。

自分の場合、「npmで管理するリポジトリに対して毎日確認する」ということがしたかったので以下のように設定しました。

dependabot setting

Dependabotの確認

上記の設定に問題がなければ、同じ画面の下部にコミットするUIがあるので、「Commit new file」をクリックします。

dependabot commit

そうすると リポジトリ/.github/dependabot.yml という構成でファイルが生成されていることが確認できます。

created dependabot file

リポジトリの Insights > Dependency graph > Dependabot の順でクリックをすると、監視対象となるマニフェストファイルが確認できます。

Dependabot look manifest file

これでDependabotの導入は完了となります。

締め

依存しているライブラリのバージョンの確認をローカルで npm-check-updates といったパッケージから確認していましたが、これで人力ではなくbotに任せられるようになったので一安心だなと思いました。

Discussion

ログインするとコメントできます