🤖

Dependabot をちゃんと活用するために行なった取り組み

2022/10/30に公開約1,000字

Dependabot溜めてました。

反省して、Dependabotを活用するため色々試してみたので、それについてまとめます。

1. Dependabot用の時間を作る

月の初めにDependabotのマージに取り組む、と決めてしまいました。

2. レビュアー・マイルストーンの自動設定

レビュアーに自分が設定されているとレビューしなきゃってなりますよね。
マイルストーンに日付が設定されていると時間内にやろうって気になりますよね。多分。

ということで以下のように設定しました。

項目
レビュアー 全員
マイルストーン security-update-<month> (毎月8日)

意識したのは、レビュアーを最大限に設定することです。人の目は出来るだけ増やすという方針を明示しました。ただし、チームの体質によっては、レビューがお見合いになる可能性はあります。

また、自動設定の方法は、リポジトリごとにGithub Actionsを設定するのが大変だったので、Dependabot対策用のリポジトリを一つ作ってそこから、APIを叩いて設定することにしました。

3. TODOリストを作る

その月に取り組むDependabotのPRをIssueにTODOリストとしてまとめるようにしました。これによって、全体像が把握でき、振り返りをしやすくなるのではという算段です。

4. ルールを明言する

Dependabotをチームで取り組むために統一されたルールを用意しました。

  • Dependabotにはメジャーバージョンのアップデートも含まれることに注意する
    • ほとんどのライブラリは最新のメジャーバージョンでセキュリティアップデートを行なっています
  • メジャーバージョン・マイナーバージョンはテストを実行する
  • パッチバージョンはリリースノートを確認する
  • 以前アップデートにより不具合が起きたものは、注意するリストに記録しておく

5. DependabotのPRの量を必要最小限にする

静的サイトジェネレータに関するライブラリは、ユーザーの入力を受けないので、リスクが低いと判断して、今回はスキップしました。


以上、取り組みでした。今後の課題としては、

  • アップデートされるバージョンの種類によってCIの実行内容を変えたい
  • たくさんレビューしたで賞を設けたい

です。ありがとうございました。

Discussion

ログインするとコメントできます