renovate概要調査
harayu依存関係を自動で更新してくれるdependabotのようなもの。
依存関係をアップデートする流れは上記に記載。
Scans your repositories to find package files and their dependencies
Checks if any newer versions exist
Raises Pull Requests for available updates
The Pull Requests patch the package files directly, and include changelogs for the newer versions (if they are available).
harayudependabotとrenovateの比較
二つを比較してRenovateのメリットは下記
Renovate
- 対応している言語やパッケージマネージャーが広い
- まとめてパッケージを更新できる
- モノレポ構成だと便利そう
- 設定項目が多くカスタマイズ性が高い
- 設定を共有できる
- presetsを使用することでできるらしい。
- auto mergeができそう
- dependabotでもできなくはないが下記のようなワークフローを作成する必要あり
- https://docs.github.com/ja/code-security/dependabot/working-with-dependabot/automating-dependabot-with-github-actions#enabling-automerge-on-a-pull-request
harayu
Dependabotでできることは下記3つ
- Dependabot alerts: リポジトリで使われている依存関係の脆弱性についてユーザーに通知します。
- Dependabot security updates: 使われている依存関係のうち、既知のセキュリティ脆弱性があるものを更新するための pull request を自動的に生成します。
- Dependabot version updates: 依存関係を最新に保つための pull request を自動的に生成します。
Dependabot alertsと同様の機能がRenovateにあればRenovateの方が良さそう
harayu
Dependabot, Renovateを併用して脆弱性管理してるところもあった
脆弱性の管理・アラート -> Depandabot
脆弱性の対応も含めた依存関係の更新 -> Renovate
Dependabot Alertsを有効化することでDependabot Security Updates相当の機能が使えるようになります。 リポジトリでDependabot Alertsを有効化すると、自動的にrenovateがセキュリティ対応PRを作成し始めます。renovateのデフォルト設定でDependabot Alerts連携が有効になっているので、renovateの設定変更は不要です。
これめちゃくちゃ良い