Dependabot.comからGitHubネイティブのDependabotへのアップグレード

依存関係を継続的に更新できるようにするPull Requestをマージすることによって、GitHubネイティブのDependabotへアップグレードできます。

Dependabot Preview has been shut down as of August 3rd, 2021. In order to keep getting Dependabot updates, please migrate to GitHub-native Dependabot.

Open pull requests from Dependabot Preview will remain open, including the pull request to upgrade to GitHub-native Dependabot, but the bot itself will no longer work on your GitHub accounts and organizations.

Dependabot PreviewからGitHubネイティブのDependabotへのアップグレードについて

Dependabot PreviewはGitHubに直接組み込まれているので、別個のアプリケーションをインストールして使うことなく、GitHubのすべての他の機能とともにDependabotを使用できます。 GitHubネイティブのDependabotに移行することによって、より多くのエコシステムの更新改善された通知GitHub Enterprise Server及びGitHub AEに対するDependabotサポートを含む、多くの素晴らしい機能をDependabotへもたらすことに私たちが集中できるようにもなります。

Dependabot PreviewとGitHubネイティブのDependabotとの違い

Dependabot Previewのほとんどの機能はGitHubネイティブのDependabotにありますが、いくつか利用できないものもあります。

  • ライブアップデート これは将来復活させたいと考えています。 現時点では、新しいパッケージをリリース後1日以内に取得するために、GitHub Dependabotを毎日実行することができます。
  • PHP環境変数レジストリ 環境変数ACF_PRO_KEYに依存しているプロジェクトでは、Advanced Custom Fieldsプラグインのライセンスされたコピーを取り入れることができます。 たとえば、dependabot/acf-php-exampleを参照してください。 他の環境変数については、GitHub Actionsを使ってそれらのレジストリから依存関係をフェッチできます。
  • 自動マージ 依存関係をマージする前には、必ずそれらを検証することをおすすめします。そのため、自動マージは予想される将来においてはサポートされません。 依存関係を詳しく吟味していたり、内部的な依存関係のみを使っている場合には、サードパーティの自動マージアプリケーションを追加するか、マージのためのGitHub Actionsをセットアップすることをおすすめします。 We have provided the dependabot/fetch-metadata action to help developers enable GitHub's automerge.

GitHubネイティブのDependabotでは、設定ファイルを使ってすべてのバージョン更新を設定できます。 このファイルはDependabot Previewの設定ファイルに似ていますが、アップグレードのPull Requestに自動的に含まれるいくつかの変更と改善点があります。 アップグレードのPull Requestに関する詳しい情報については「GitHubネイティブDependabotへのアップグレード」を参照してください。

以前はDependabot.comダッシュボードにあったGitHubネイティブのDependabotの更新ログを参照するには以下のようにします。

  1. リポジトリのInsightsページにアクセスしてください。
  2. 左にあるDependency graph(依存関係グラフ)をクリックしてください。
  3. Dependabotをクリックしてください。

GitHubネイティブのDependabotでのバージョン更新に関する詳しい情報については「Dependabotのバージョン更新について」を参照してください。

GitHubネイティブDependabotへのアップグレード

Dependabot PreviewからGitHubネイティブのDependabotへアップグレードするには、リポジトリ中のUpgrade to GitHub-native Dependabot Pull Requestをマージすることが必要です。 このPull Requestには、GitHubネイティブのDependabotが必要とする更新された設定ファイルが含まれています。

プライベートリポジトリを使っているなら、Organizationのセキュリティと分析の設定でDependabotにそれらのリポジトリへのアクセスを許可しなければなりません。 詳しい情報については「Dependabotに対するプライベートな依存関係へのアクセスの許可」を参照してください。 以前はDependabotはOrganization内のすべてのリポジトリにアクセスできましたが、最小権限の原則をDependabotに適用するほうがはるかに安全であることから、この変更を実装しました。

プライベートリポジトリを使っているなら、既存のDependabot PreviewのシークレットをリポジトリもしくはOrganizationの"Dependabot secrets"に追加しなければなりません。 詳しい情報については「Dependabotの暗号化されたシークレットの管理」を参照してください。

移行に関する質問があったり支援が必要な場合は、dependabot/dependabot-coreリポジトリでIssueを見たりオープンしたりできます。

このドキュメントは役立ちましたか?

プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?