Zenn
🤖

dependabotによる依存関係更新の集約設定

に公開
GitHub Actions
CI
Dependabot
tech

dependabotは、依存関係の更新を自動的に検出し、プルリクエスト(PR)を作成する便利なツールです。
しかし、デフォルトの設定では各依存関係の更新ごとに個別のPRが作成されるため、ライブラリ同士が密接に関連している場合は以下のような問題が発生する可能性があります。

  • 複数のPRを個別にマージしていく過程で一時的なバージョン不整合が生じ、CIが失敗する。
  • PRの数が多くなり、管理やレビューの手間が増大する。

これらの問題を軽減し、依存関係の更新管理を効率化するために、dependabotが各パッケージエコシステム内のすべての更新を1つのPRにまとめるように設定します。

dependabot.ymlにおけるグループ化設定

GitHub Actionsのワークフローと同様に、dependabotの設定はプロジェクトルートの.github/dependabot.ymlファイルで行います。
今回の課題解決のため、このファイルにgroups設定を導入し、各パッケージエコシステム(npmgithub-actions)内のすべての依存関係を1つのグループにまとめます。
具体的には、グループのpatternsプロパティに"*"を指定します。

以下の設定を.github/dependabot.ymlに適用します。

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    commit-message:
      prefix: "chore"
      include: "scope"
    labels:
      - "dependencies"
      - "dependabot"
    groups:
      npm-all-dependencies:
        patterns:
          - "*" # npmエコシステムのすべての依存関係をこのグループに含めます
    # メジャーアップデートを無視する設定
    ignore:
      - dependency-name: "*" # すべての npm 依存関係に対して
        update-types: ["version-update:semver-major"] # メジャーアップデートを無視

  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      interval: "weekly"
    commit-message:
      prefix: "chore(actions)"
      include: "scope"
    labels:
      - "github-actions"
      - "dependabot"
    groups:
      github-actions-all:
        patterns:
          - "*" # GitHub Actionsエコシステムのすべての依存関係をこのグループに含めます
    ignore:
      - dependency-name: "*"
        update-types: ["version-update:semver-major"]

設定内容の詳細

各設定は破壊的変更を回避するため、メジャーアップデートを無視する設定にします。

  • npmパッケージの更新
    • package-ecosystem: "npm"で指定される依存関係(主にpackage.json内のもの)は、npm-all-dependenciesグループにまとめられます。
    • patterns: ["*"]により、npmエコシステム内の全ての更新がこのグループの対象となります。
  • GitHub Actionsの更新
    • package-ecosystem: "github-actions"で指定される依存関係(主に.github/workflows/内のアクションのバージョン)は、github-actions-allグループにまとめられます。
    • 同様にpatterns: ["*"]により、全てのGitHub Actions関連の更新が対象となります。

この設定による効果と影響

効果

  • PR数の削減: 各エコシステムで利用可能な全てのアップデートが1つのPRに集約されるため、dependabotから作成されるPRの総数が大幅に減少します。
  • マージ作業の効率化: 複数のPRを個別にレビュー・マージする手間が省け、1つのPRのCIがパスすればまとめて更新を適用できます。
  • 一時的な依存関係不整合リスクの低減: 関連する可能性のあるライブラリが同じPR内で更新されるため、個別にマージする際に発生しうる一時的なバージョン間の衝突やCIエラーのリスクを低減できます。

影響と考慮事項

  • PRの規模: 多くの依存関係に同時に更新がある場合、1つのPRに含まれる変更の量が非常に大きくなる可能性があります。変更内容のレビューや、問題発生時の原因特定が難しくなる場合があります。
  • CIの重要性: 多くの変更を一度に適用するため、CIプロセス(lint設定、ビルド、テストなど)が確実に全ての変更を検証できる状態であることが極めて重要です。
  • セキュリティアップデート: dependabotはセキュリティ関連のアップデートを特に重要視し、グループ化の対象外として個別のPRで迅速に通知・提案する場合があります。この挙動はdependabotの内部ロジックに依存します。
  • レビュアー指定: 設定ファイル内のreviewersは現在設定していませんが、実際のプロジェクトメンテナーのGitHubユーザー名またはチーム名に必ず修正してください。

まとめ

今回はdependabot.ymlで依存関係を集約する方法を解説しました。
この設定は、プロジェクトの規模と運用方針を考慮し、依存関係更新の管理を簡素化することを目的としています。
実際にプロジェクトでは社内パッケージなども使用することが考えられますので、PRのサイズやCIの安定性などを注視し、必要に応じて設定を見直すことを推奨します。

Discussion