Dependabotは、依存しているライブラリのアップデートをチェックし、自動でPRを作ってくれる便利なbotです。
Androidプロジェクトでも、GitHub上からポチポチするだけで簡単にセットアップすることができたので、手順をご紹介したいと思います。
※ 個人のプライベートなAndroidプロジェクトで試しました。 app モジュールのみのオーソドックスなAndroidプロジェクトです。
手順
リポジトリを開きます。
タブにある Insights を選択します。
Dependabot を選択し、Dependabotを有効化します。
有効化した後は、configファイルを作成します。
ymlのconfigファイル作成画面になります。
色々と設定を記述することもできますが、一旦無視して package-ecosystem のところに 「gradle」 を記述します。
コミットします。
dependabot.ymlが作成されました。設定としては以上です。
Insights に戻ると gradle のマークがあり、 Checking now と表示されています。
プロジェクトの大きさにもよるかもしれませんが、30秒もかからずにPRが作成されていました!
PRの差分を見てみると、バージョンのところだけ綺麗にアップデートされているのがわかります。
ちなみに、変数を用いてバージョンを共通して書くやり方をしている箇所でも、うまいこと変数のところだけアップデートされるようでした。(賢い!)
まとめ
DependabotをAndroidプロジェクトで使う方法をご紹介しました。
ポチポチするだけで設定できるので、かなり簡単に導入することができるなぁと感じました。
自動でPRを出してくれるのも非常に便利です。
ただ、ライブラリのアップデートのPRは出してくれますが、機械的なアップデートなため、アプリの機能が動かなくなったり、レイアウトが崩れたりなどの問題が起こる可能性もあるので、PR起点のCIでテストを回したり、PRをpullして手元で確認したりなどは必要なのかなと思いました。
Dependabotのドキュメントは こちら を御覧ください。