GitHubは米国時間5月2日、ホステッドランナーやセルフホステッドランナーを使用する「GitHub Actions」ワークフローとして「Dependabot」の更新ジョブがリポジトリーや組織で実行できるようになったと発表した。
Dependabotは、セキュリティアップデートプログラムを使用してプルリクエストを発行することにより、脆弱(ぜいじゃく)性のある依存関係を修正できるようにする機能。登場以来、ホステッドコンピュートを使用することで更新ジョブの実行プロセスを簡素化し、セキュリティ脆弱性を把握するのに必要な作業量を最小化していたとGitHubは説明する。
しかし、このコンピュートシステムは、S2C2Fといったフレームワークで概説されているベストプラクティスであるプライベートレジストリーのようなオンプレミスの一部リソースにアクセスできず、柔軟性に欠けていたという。さらに、GitHub Actionsの利用が増加するにつれ、全ジョブのログを一元的に見たいとの要望が挙がっていたとGitHubは述べる。
この課題に対処するため、GitHubはDependabotのコンピュートプラットフォームをGitHub Actionsに統合し、プルリクエストを生成するジョブをGitHub Actionsのワークフローとして実行できるようにした。これにより、Dependabotは、GitHub Actionsのインフラを活用できるようになり、Dependabotをセルフホステッドランナーに接続することが可能になったという。
この変更により、Dependabotをプライベートネットワーク上でセルフホステッドランナーを使用して実行することを選択でき、Dependabotがオンプレミスのプライベートレジストリにアクセスしてパッケージを更新することが可能になる。Dependabotの実行が高速化され、ログの可視性が向上するなど、パフォーマンスが改善される。GitHub Actions用APIとWebhookは、失敗した実行を検出し、継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインでの構成を実現したい場合、ダウンストリーム処理を実行することもできる。
Dependabotの実行はGitHub Actionsの分数に含まれないので、Dependabotは無料で今後も利用できるという。
2025年にかけて、Dependabotは全ての更新ジョブをGitHub Actions上で実行するよう移行する予定だとGitHubはいう。この移行には、実行の高速化、トラブルシューティング可視性の向上、セルフホステッドランナー、その他のパフォーマンスや機能の利点が含まれるという。ほとんどのユーザーにとって、移行はシームレスなものとなるとGitHubは強調する。
