Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationEventAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
29
Help us understand the problem. What are the problem?

More than 1 year has passed since last update.

posted at

Dependabotで依存パッケージ更新のプルリクを作成してもらう

はじめに

皆さん、依存パッケージのアップデートを定期的にしていますか?
自分はGitHubのセキュリティアラートがきてからバーション確認をすることが多いです。。

そんな中、Twitterを見ていると依存パッケージ更新のプルリクを出してくれるDependabotというサービスがあるとのことでjavascriptのプロジェクトで試してみました。

Dependabotとは

Dependabotは依存パッケージの更新を定期的にチェックし、更新があった際にプルリクエストを作成してくれるサービスです。

2019年の5月にGitHubにJoinしたことで無料で使えます😊
Dependabot is joining GitHub

サポート言語

2019/07/15時点では下記言語がサポートされているようです。
スクリーンショット 2019-07-13 0.56.02.png

導入手順

インストール

GitHubのMarketplaceからDependabotを検索します。
スクリーンショット 2019-07-13 0.18.13.png

Install it for freeからインストールし、追加するリポジトリなどの設定を進めます
スクリーンショット 2019-07-13 0.20.26.png

Dependabot設定

ダッシュボード画面

Bump nowで即座にパッケージのチェックを行うことが可能です。
スクリーンショット 2019-07-13 1.10.51.png

設定項目

Update scheduleで日毎、週毎、次毎にパッケージチェックを行うように設定も可能です。
ReviewersやAssigneesも指定できるので、自分を設定しておくことでプルリクの確認がしやすくなります。
ディレクトリや対象のbranchを指定することも可能です。

スクリーンショット 2019-07-13 1.14.07.png

GitHubの画面

プルリク一覧画面

更新パッケージがあればdependenciessecurityのラベルを付与してプルリクを作成してくれます。
スクリーンショット 2019-07-13 0.26.05.png

プルリク詳細画面

Changelogでどんな内容のバージョンアップであるか確認ができます。
スクリーンショット 2019-07-13 1.15.21.png

プルリクのコメントからDependabotを操作することも可能です。
その為、CIを回して問題なければ自動でmergeをすることもできます。
スクリーンショット 2019-07-13 1.15.40.png

おわりに

今までパッケージの更新はGitHubのセキュリティアラートがでたらバージョンアップしていました。
Dependabotを入れることで自動でプルリクを作成してくれて、バージョンアップの内容もプルリクから確認できるのは便利です。CIを実行して問題なければ自動でmergeできるのも良さそうなので、個人開発でもテストコードを書くモチベーションが高まります。

Botがプログラミングしてプルリクを投げてくる時代がくるのかも。。🧐

参考URL

【Dependabot】依存パッケージが更新されてたら勝手にプルリクしてくれるやつ
依存パッケージを更新するサービス「Dependabot」で Dockerfile の更新をチェックする

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
29
Help us understand the problem. What are the problem?