GitHub、「Dependabot」をアップデート--アップデートする依存関係のグループ化が可能に

河部恭紀 (編集部)

2023-08-25 14:44

 GitHubは米国時間8月24日、「Dependabot」のアップデート版が一般提供されたことを発表した

 Dependabotは、セキュリティアップデートプログラムを使用してプルリクエストを発行することにより、脆弱性のある依存関係を修正できるようにする機能。これまで、各アップデートに対して個別のリクエストを開いていたため、開発者のワークフローにオーバーヘッドを加え、関連する依存関係が同期から外れてしまう可能性を高めていたという。

 今回の一般提供により、一つのプルリクエストでアップデートする依存関係をグループ化して指定できるようなった。バージョンアップデートのグループ化は、シンプルな依存関係管理、破壊的変更によるリスクの低減、サードパーティー製ツールや手作業による回避策を段階的に廃止する機会といった利点を開発プロセスにもたらすとGitHubは説明する。

 Dependabotがプルリクエストをどのように構成するかを制御するため、dependabot.ymlファイルでgroupsを使って一緒にアップデートされる依存関係のグループを定義することができる。例えば、一度にアップデートする多くの依存関係のグループや破壊的変更のリスクを最小限にするグループを設定できる。

 グループを最初に設定する場合、プルリクエストのタイトルやブランチ名に表示されるグループ名を指定する。そして、グループに対して特定の依存関係を含めたり除外したりするためのオプションを定義する。

 これらのオプションには、グループに含める依存関係のタイプを指定するdependency-type、依存関係名と一致する文字列を定義し、それらの依存関係をグループに含めるpatterns、依存関係名と一致する文字列を定義し、それらをグループから除外するexclude-patternsなどが含まれるという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]