Dependabot は、pom.xml ファイルで定義されている情報を使って、Gradle と Maven のエコシステム用に Java 依存関係を更新する pull request を作成します。 Dependabot が期待するプロジェクト メタデータを含めると、pull request には、推奨されるパッケージ更新プログラムのリリース ノートへのリンクと、ユーザーが issue を報告できるリンクが含まれます。 この情報は、すべてのリリース情報を確認した後、ユーザーが自信を持ってパッケージを更新できることを意味します。
Dependabot で必要なメタデータを pom.xml ファイルに含める
Dependabot は、プロジェクトの URL、ソース コード管理システム、issue 管理システムを使って、更新 pull request の概要を作成します。
url: プロジェクトのホーム ページ。POM リファレンスの「その他のプロジェクト情報」を参照してくださいscm: プロジェクトで使われるソース コード管理システムの URL。POM リファレンスの「SCM」を参照してくださいissueManagement: プロジェクトで使われる issue 管理システムの URL。POM リファレンスの「issue の管理」を参照してください
GitHub
でホストされているプロジェクトの例
<project>
<url>https://github.com/OWNER/REPOSITORY</url>
<scm>
<url>https://github.com/OWNER/REPOSITORY</url>
</scm>
<issueManagement>
<url>https://github.com/OWNER/REPOSITORY/issues</url>
</issueManagement>
</project>
OWNER と REPOSITORY を、プロジェクトの詳細に置き換えます。
pom.xml ファイルからプロジェクト メタデータを省略した場合の影響
Dependabot がチェックする URL を含めるのを忘れた場合でも、Java パッケージを更新するための pull request は作成されます。 ただし、pull request の概要でユーザーが使用できる情報は制限されます。
- プロジェクトのポジトリまたはソース コード管理 URL が定義されていない: Dependabot の pull request にリリース ノートへのリンクは含まれません
- issue 管理 URL が定義されていない: 問題を報告するための issue ページへのリンクは含まれません。
この情報を追加すると、Dependabot によって、プロジェクトのより正確な更新が提供され、リリース ノートと issue トラッカーへの便利なリンクが組み込まれます。