Dependabot version updatesを使ってみる

目次

1. 背景
2. dependabotとは
3. 使ってみる
4. 参考
5. 感想

1. 背景

以下のRenovateの記事を最近書きました。
https://qiita.com/yamatai12/items/c27afaf7c2883909f4ad

dependabotも似たようなものらしいので今回は実際にdependabotを使ってみます。

2. dependabotとは

Automated dependency updates built into GitHub

GitHubのbuilt-inで依存関係の自動更新をしてくれるツールとのことです。

3. 使ってみる

以下のdoc見ながら進めていきます。

こちらのリポジトリでdependabotを使ってみます。
以下がライブラリの依存関係です。

package.json

"dependencies": {
    "typescript": "^4.1.6"
  },
  "volta": {
    "node": "18.18.0"
  }

dependabot.yml 構成ファイルをリポジトリにチェックインして、Dependabot version updates を有効にします。
設定ファイルは、リポジトリに保存されているマニフェストまたは他のパッケージ定義ファイルの場所を指定します。
以下サンプルを参考に記述します。

dependabot.yml

version: 2
updates:
  # Enable version updates for npm
  - package-ecosystem: "npm"
    # Look for `package.json` and `lock` files in the `root` directory
    directory: "/"
    # Check the npm registry for updates every day (weekdays)
    schedule:
      interval: "daily"

こちらを.github配下に置き、リモートブランチにpushします。

すると以下のようにPull Requestが作成されてました。

package.json,package-lock.jsonも修正してくれてます。

前にRenovateで依存関係を監視した際はnodeのバージョンも上げるようにしてくれましたが、dependabotではしてくれないということが分かりました。

4. 参考

• https://tech.macloud.jp/entry/2022/07/27/182109
• https://zenn.dev/dzeyelid/articles/e36d439cdeda5edb7ddc

5. 感想

• dependabotはdependencies、devDependenciesしか見てないのか、他にもvoltaで書いたNodeバージョンも見てくれのか調べたいと思いました。
• Renovateの方が依存関係の監視でカバーしてくれるものが広いので今の所使えそうな印象です。