多分今更感が強いんだろうけど、「DependaBot」をリポジトリに追加してみたいと思います。
転職先の会社で導入されており、今回それに関連した課題をこなす必要があるので、どんなものか勉強しておく必要があるのです。
DependaBotとは?
DEpendaBotとはパッケージの脆弱性や、依存関係の更新を検知し、自動でプルリクを作成してくれるサービスとのこと
https://zenn.dev/yuuhu04/articles/about-github-alert
重要なセキュリティアップデートがあった場合などに、自動でプルリクを作成してくれるのは便利そうです。
以前は別会社のサービスだったそうですが、Githubに買収されたことにより、現在は特別な設定は必要なく利用することができます。
早速導入してみる
今回は自分のGithub公開リポジトリに設定を追加してみます
Insights > Dependency graph > Enable Dependabot の順に選択
ボタンを押すとCreate Config Fileに変化するので、そのままボタンをクリック
コンフィグファイルの編集画面になります。
ひとまず、依存関係管理に利用しているエコシステムだけ指定すればDependaBotは動きます
利用できるエコシステムは以下のとおりです
https://docs.github.com/ja/code-security/dependabot/dependabot-version-updates/configuration-options-for-the-dependabot.yml-file#package-ecosystem
画面下に Commit Fileボタンがあるので、編集が終わったらボタンを押します
.github/dependabot.yml というファイルが作成されました
確認してみる
もう一度、Insights > Dependency graph > Enable Dependabot の順にアクセスすると、dependabotの最終実行時間が確認できます
今回テストで利用したリポジトリでは、1件だけ依存性アップデートのプルリクが作成されていました
テストで利用したリポジトリはシンプルな構成だったため、セキュリティアップデートはありませんでしたが、これを入れておけば脆弱性にも早めに気づくことができそうですね
以上
簡単ですが、dependabot導入方法の紹介でした。導入しておけば依存関係やセキュリティアップデートの作業が楽になりそうです。
