Closed3

Dependabot と Dependabot alerts

nmtynmty

セキュリティ更新と依存関係更新の2つがある。

  • セキュリティ更新
    • Dependabot alerts:Security > Dependabot alerts に脆弱性のあるライブラリを通知する
    • Dependabot security updates:Dependabot alerts の通知から脆弱性のないバージョンへのアップデートするPullRequestを自動で作成する
  • 依存関係更新
    • Dependabot version updates:依存ライブラリを最新にするPullRequestを自動で作成する

詳細は脆弱性のある依存関係の管理について - GitHub Docs を参照。

リポジトリ設定

セキュリティ

https://github.com/<org>/<repo>/settings/security_analysis から有効化する。

依存関係

Insights > Dependency graph > Dependabot から有効化する。

nmtynmty

依存関係更新の設定ファイル

依存関係の更新の設定オプション - GitHub Docs

Dockerイメージについて毎週月曜AM9時に更新PRを作成する

version: 2
updates:
  - package-ecosystem: "docker"
    directory: "/"
    labels:
      - "docker"
    open-pull-requests-limit: 3
    schedule:
      interval: "weekly"
      day: "monday"
      time: "09:00"
      timezone: "Asia/Tokyo"
    target-branch: "main"

補足

nmtynmty

Dependabot Alerts は unfixed なライブラリもIssue化されるらしい。

このスクラップは2021/08/26にクローズされました