.github/dependabot.yml とは
.github/dependabot.yml は、Dependabot という機能の設定ファイルです。
Dependabot とは
Dependabot とは、依存関係のセキュリティ脆弱性を自動で検出・修正するツールです。
脆弱性を検出した場合、依存関係をアップデートするプルリクエストを自動で作成します。
ここでいう依存関係とは、ライブラリやパッケージなどの外部コードのことを指します。
作り方
最初はリポジトリの設定から作成しましょう。
リポジトリ > Settings > Security & analysis > Advanced Security まで進み、Dependabot について以下の設定を行います。
| 設定項目 | 説明 |
|---|---|
| Dependabot alerts | 依存関係に影響を与えるリポジトリ内の脆弱性に関するアラートを有効化します。 |
| Dependabot security updates | リポジトリ内の脆弱なパッケージを更新するプルリクエストを自動で作成する機能を有効化します。 |
| Grouped security updates | Dependabot が作成する依存関係のプルリクエストを、パッケージマネージャーごとにグルーピングする機能を有効化します。 |
| Dependabot version updates | 脆弱性の有無に限らず、依存関係のバージョンアップデートを自動でチェックし、プルリクエストを作成する機能を有効化します。 |
このなかで .github/dependabot.yml が必要になるのは、Dependabot version updates です。
その他の機能も .github/dependabot.yml で細かく設定できるため、詳細はドキュメントを参照しましょう。
Grouped security updates を有効化した場合、プルリクエストはグループ化されていることがわかります。
参考:PowerToys
microsoft/PowerToys のリポジトリにある .github/dependabot.yml では GitHub Actions のパッケージを週次でチェックする構成になっています。
version: 2
updates:
- package-ecosystem: "github-actions"
directory: "/"
schedule:
interval: "weekly"
.github/dependabot.yml の表示箇所
リポジトリに .github/dependabot.yml ファイルがある場合に、特別な表示になる箇所はおそらくありません。
まとめ
.github に配置できるファイルの一覧はこちらの記事でまとめています。
