Upgrade to GitHub-native Dependabot に対応する
なんかプルリクが届いていた
GitHub Apps として提供されていた Dependabot Preview
が正式版になるにあたって、GitHub-native な機能になるらしい
届いたプルリクはこんな感じ
これをマージすれば対応完了になるらしい
差分を眺める
- version が 1 から 2 になった
-
package_manager: "javascript"
がpackage-ecosystem: npm
になった- 正しい
-
update_schedule: "weekly"
がschedule
に詳細になった-
day: friday
やtime: "17:00"
はダッシュボードから指定した値なので、これがコード化されるの嬉しい- そもそもアカウント単位での設定だったのがリポジトリ単位になるので良い
-
-
open-pull-requests-limit: 10
が生えた- 良さそう
- Open なプルリクが無限に溜まるってことがありがちなので
-
ignore:
- ここに書くとアプデを無視するのかな?
- なぜ
@typescript-eslint/eslint-plugin
が...
とりあえずマージして対応した
今週の金曜日が楽しみ
新しいリポジトリで dependabot を使うには .github/dependabot.yml
をコミットするだけで良かった
前の dependabot には CI が通れば自動的にマージしてくれる automerged_updates
というオプションがあったけど、GitHub-native な方の config にはそれらしいオプションが見当たらない
ref: https://github.com/odanado/blog/pull/197/files
ドキュメントを探すと次が見つかる
Auto-merge: We always recommend verifying your dependencies before merging them; therefore, auto-merge will not be supported for the foreseeable future. For those of you who have vetted your dependencies, or are only using internal dependencies, we recommend adding third-party auto-merge apps, or setting up GitHub Actions to merge.
https://docs.github.com/ja/code-security/supply-chain-security/upgrading-from-dependabotcom-to-github-native-dependabot#differences-between-dependabot-preview-and-github-native-dependabot
ちゃんとチェックするのが大事だから自動マージはないよ、自動マージがほしいなら GitHub Actions を設定してねという話らしい。前者はそれはそうだし、後者は UNIX 哲学的にそう
ignore:
はそのリポジトリの運用に応じてずっとアップデートがされていないパッケージが自動的に追加されているみたい