Dependabot と Dependabot alerts

セキュリティ更新と依存関係更新の2つがある。

• セキュリティ更新
  • Dependabot alerts：Security > Dependabot alerts に脆弱性のあるライブラリを通知する
  • Dependabot security updates：Dependabot alerts の通知から脆弱性のないバージョンへのアップデートするPullRequestを自動で作成する
• 依存関係更新
  • Dependabot version updates：依存ライブラリを最新にするPullRequestを自動で作成する

詳細は脆弱性のある依存関係の管理について - GitHub Docs を参照。

リポジトリ設定

セキュリティ

https://github.com/<org>/<repo>/settings/security_analysis から有効化する。

依存関係

Insights > Dependency graph > Dependabot から有効化する。

依存関係更新の設定ファイル

依存関係の更新の設定オプション - GitHub Docs

Dockerイメージについて毎週月曜AM9時に更新PRを作成する

version: 2
updates:
  - package-ecosystem: "docker"
    directory: "/"
    labels:
      - "docker"
    open-pull-requests-limit: 3
    schedule:
      interval: "weekly"
      day: "monday"
      time: "09:00"
      timezone: "Asia/Tokyo"
    target-branch: "main"

補足

• Wildcards in directory #2178 より、 ワイルドカードは使えない。
• リポジトリ
  • 言語別：docker-library/<lang>
  • PR作成、Commitsのトラッキング：dependabot/dependabot-core

Dependabot Alerts は unfixed なライブラリもIssue化されるらしい。