Closed8

Upgrade to GitHub-native Dependabot に対応する

odanodan

GitHub Apps として提供されていた Dependabot Preview が正式版になるにあたって、GitHub-native な機能になるらしい

odanodan

届いたプルリクはこんな感じ

これをマージすれば対応完了になるらしい

odanodan

差分を眺める

  • version が 1 から 2 になった
  • package_manager: "javascript"package-ecosystem: npm になった
    • 正しい
  • update_schedule: "weekly"schedule に詳細になった
    • day: fridaytime: "17:00" はダッシュボードから指定した値なので、これがコード化されるの嬉しい
      • そもそもアカウント単位での設定だったのがリポジトリ単位になるので良い
  • open-pull-requests-limit: 10 が生えた
    • 良さそう
    • Open なプルリクが無限に溜まるってことがありがちなので
  • ignore:
    • ここに書くとアプデを無視するのかな?
    • なぜ @typescript-eslint/eslint-plugin が...
odanodan

とりあえずマージして対応した
今週の金曜日が楽しみ

odanodan

前の dependabot には CI が通れば自動的にマージしてくれる automerged_updates というオプションがあったけど、GitHub-native な方の config にはそれらしいオプションが見当たらない
ref: https://github.com/odanado/blog/pull/197/files

ドキュメントを探すと次が見つかる

Auto-merge: We always recommend verifying your dependencies before merging them; therefore, auto-merge will not be supported for the foreseeable future. For those of you who have vetted your dependencies, or are only using internal dependencies, we recommend adding third-party auto-merge apps, or setting up GitHub Actions to merge.
https://docs.github.com/ja/code-security/supply-chain-security/upgrading-from-dependabotcom-to-github-native-dependabot#differences-between-dependabot-preview-and-github-native-dependabot

ちゃんとチェックするのが大事だから自動マージはないよ、自動マージがほしいなら GitHub Actions を設定してねという話らしい。前者はそれはそうだし、後者は UNIX 哲学的にそう

このスクラップは3ヶ月前にクローズされました