Zenn
Closed3

GitHub Actions 用の Dependabot 設定

GitHub Actions
Dependabot
hankei6kmhankei6km

ワークフローで使っている action の更新をほったらかしにしておいたら「deprecated になるよ」の警告メッセージが結構増えていた。

dependabot には GitHub Actions 用の設定もあるので、それを利用すると更新が楽になる。

https://docs.github.com/en/code-security/dependabot/working-with-dependabot/keeping-your-actions-up-to-date-with-dependabot#enabling-dependabot-version-updates-for-actions

普通は利用している言語の設定もあるので、下記のように複数設定する感じになると思う。

# To get started with Dependabot version updates, you'll need to specify which
# package ecosystems to update and where the package manifests are located.
# Please see the documentation for all configuration options:
# https://docs.github.com/github/administering-a-repository/configuration-options-for-dependency-updates

version: 2
updates:
  - package-ecosystem: "cargo" # See documentation for possible values
    directory: "/" # Location of package manifests
    schedule:
      interval: "weekly"

  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      # Check for updates to GitHub Actions every week
      interval: "weekly"
hankei6kmhankei6km

bump されない action があった

下記の actions/checkout@v22 のままで 3 に更新されない。他の action は更新されたので設定のミスではないはず(下の方にある actions/cache@v3 は更新されたもの)。

https://github.com/hankei6km/notion2content/blob/141a0b0d72fc8d173d5a111fddd43a86e7cd728d/.github/workflows/test.yaml#L1-L36

原因はたぶんこれ↓。上記リポジトリでも他のワークフローで actions/checkout@v3 を使っている。

https://github.com/dependabot/dependabot-core/issues/3750

対応されるようなのでちょっと様子見(と、思ったけど時間かかりそうな感じもする)。

https://github.com/dependabot/dependabot-core/issues/3750#issuecomment-1315662103

ちなみに actions/checkout@v22 のままだと下記の影響がある。

https://github.blog/changelog/2022-09-22-github-actions-all-actions-will-begin-running-on-node16-instead-of-node12/

このスクラップは2023/02/28にクローズされました