はじめに
皆さん、依存パッケージのアップデートを定期的にしていますか?
自分はGitHubのセキュリティアラートがきてからバーション確認をすることが多いです。。
そんな中、Twitterを見ていると依存パッケージ更新のプルリクを出してくれるDependabotというサービスがあるとのことでjavascriptのプロジェクトで試してみました。
Dependabotとは
Dependabotは依存パッケージの更新を定期的にチェックし、更新があった際にプルリクエストを作成してくれるサービスです。
2019年の5月にGitHubにJoinしたことで無料で使えます😊
Dependabot is joining GitHub
サポート言語
2019/07/15時点では下記言語がサポートされているようです。
導入手順
インストール
GitHubのMarketplaceからDependabotを検索します。
Install it for freeからインストールし、追加するリポジトリなどの設定を進めます
Dependabot設定
ダッシュボード画面
Bump nowで即座にパッケージのチェックを行うことが可能です。
設定項目
Update scheduleで日毎、週毎、次毎にパッケージチェックを行うように設定も可能です。
ReviewersやAssigneesも指定できるので、自分を設定しておくことでプルリクの確認がしやすくなります。
ディレクトリや対象のbranchを指定することも可能です。
GitHubの画面
プルリク一覧画面
更新パッケージがあればdependenciesやsecurityのラベルを付与してプルリクを作成してくれます。
プルリク詳細画面
Changelogでどんな内容のバージョンアップであるか確認ができます。
プルリクのコメントからDependabotを操作することも可能です。
その為、CIを回して問題なければ自動でmergeをすることもできます。
おわりに
今までパッケージの更新はGitHubのセキュリティアラートがでたらバージョンアップしていました。
Dependabotを入れることで自動でプルリクを作成してくれて、バージョンアップの内容もプルリクから確認できるのは便利です。CIを実行して問題なければ自動でmergeできるのも良さそうなので、個人開発でもテストコードを書くモチベーションが高まります。
Botがプログラミングしてプルリクを投げてくる時代がくるのかも。。🧐
参考URL
【Dependabot】依存パッケージが更新されてたら勝手にプルリクしてくれるやつ
依存パッケージを更新するサービス「Dependabot」で Dockerfile の更新をチェックする