Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Dependabot でアクションを最新に保つ

Dependabot を使用して、使用するアクションを最新バージョンに更新しておくことができます。

Dependabot version updates のアクションについて

多くの場合、アクションはバグ修正と新機能で更新され、自動プロセスの信頼性、速度、安全性が向上しています。 GitHub Actions に対して Dependabot version updates を有効にすると、Dependabot では、リポジトリの workflow.yml ファイル内のアクションへのリファレンスが最新の状態に保たれるようにします。 Dependabot では、ファイル内のアクションごとに、アクションのリファレンス (通常、アクションに関連付けられているバージョン番号またはコミット ID) が最新バージョンと参照されます。 より新しいバージョンのアクションが使用可能な場合、Dependabot によって、ワークフロー ファイル内のリファレンスを最新バージョンに更新する pull request が送信されます。 Dependabot version updates について詳しくは、「Dependabot version updates について」を参照してください。 GitHub Actions のワークフロー構成について詳しくは、「GitHub Actions を学ぶ」を参照してください。

注: Dependabot pull request によってトリガーされるワークフロー実行は、フォークされたリポジトリからのものであるかのように実行されるため、読み取り専用の GITHUB_TOKEN を使用します。 それらのワークフローの実行は、シークレットにはアクセスできません。 これらのワークフローを安全に保つための戦略については、「GitHub Actions とワークフローを安全に保つ: pwn 要求の防止」を参照してください。

Dependabot version updates のアクションを有効化する

自分のアクションと、依存するライブラリとパッケージを維持するように Dependabot version updates を構成できます。

  1. 他のエコシステムまたはパッケージ マネージャーで既に Dependabot version updates を有効にしている場合は、既存の dependabot.yml ファイルを開くだけです。 それ以外の場合、リポジトリの .github ディレクトリに dependabot.yml 構成ファイルを作成します。 詳しくは、「Dependabot のバージョン アップデートの設定」をご覧ください。
  2. "github-actions"package-ecosystem として指定して監視します。
  3. directory"/" に設定して、.github/workflows でワークフロー ファイルを確認します。
  4. schedule.interval を設定して、新しいバージョンを確認する頻度を指定します。
  5. リポジトリの .github ディレクトリにある dependabot.yml 構成ファイルを確認します。 既存のファイルを編集した場合は、変更を保存します。

フォークで Dependabot version updates を有効化することもできます。 詳細については、「Dependabot バージョンの更新の構成」を参照してください。

GitHub Actions の dependabot.yml ファイルの例

次の dependabot.yml ファイルの例では、GitHub Actions のバージョン更新を設定しています。 .github/workflows でワークフロー ファイルを確認するために、directory"/" に設定する必要があります。 schedule.interval"weekly" が設定されています。 このファイルがチェックインまたは更新されると、Dependabot はアクションの新しいバージョンをチェックします。 Dependabot では、検出した期限切れのアクションに対してバージョン更新の pull request が生成されます。 初期バージョンの更新後、Dependabot では 1 週間に 1 回、期限切れのバージョンのアクションを引き続き確認します。

# Set update schedule for GitHub Actions

version: 2
updates:

  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      # Check for updates to GitHub Actions every week
      interval: "weekly"

Dependabot version updates のアクションを設定する

アクションに対して Dependabot version updates を有効にする場合は、package-ecosystemdirectoryschedule.interval の値を指定する必要があります。 バージョン更新をさらにカスタマイズするための設定オプションのプロパティは他にもたくさんあります。 詳細については、「dependabot.yml ファイルの構成オプション」を参照してください。

参考資料