Skip to main content
ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

依存関係の更新に関するPull Requestを管理する

Dependabot によって生成されたPull Requestは、他のPull Requestとほぼ同じ方法で管理しますが、いくつかの追加オプションがあります。

Note: Dependabot security and version updates are currently in private beta and subject to change. Please contact your account management team for instructions on enabling Dependabot updates.

Note: Your site administrator must set up Dependabot updates for GitHub Enterprise Serverインスタンス before you can use this feature. 詳しい情報については「EnterpriseでのDependabotの有効化」を参照してください。

Dependabot のPull Requestについて

Dependabot は、依存関係を更新するPull Requestを生成します。 リポジトリの設定によっては、Dependabot がバージョン更新やセキュリティアップデートのPull Requestを発行する場合があります。 これらのPull Requestは、他のPull Requestと同じ方法で管理しますが、追加のコマンドもいくつか用意されています。 For information about enabling Dependabot dependency updates, see "Configuring Dependabotセキュリティアップデート" and "Enabling and disabling Dependabot version updates."

Dependabot がプルリクエストを発行すると、リポジトリに対して選択した方法で通知されます。 各プルリクエストには、パッケージマネージャーから取得した、提案された変更に関する詳細情報が含まれています。 これらのプルリクエストは、リポジトリで定義されている通常のチェックとテストに従います。

管理する依存関係が多数ある場合は、各パッケージマネージャーの設定をカスタマイズして、プルリクエストに特定のレビュー担当者、アサインされた人、ラベルを付けることができます。 詳しい情報については、「依存関係の更新をカスタマイズする」をご覧ください。

Dependabot のPull Requestを表示する

  1. GitHub Enterprise Serverインスタンスで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で、クリックします Pull requests
    ![Pull request tab selection](/assets/images/enterprise/3.3/repository/repo-tabs-pull-requests.png)
    
  3. セキュリティあるいはバージョン更新のPull Requestは、簡単に特定できます。
    • 作者はdependabotで、Dependabotで使用されるボットアカウントです。
    • デフォルトでは、dependencies ラベルが付いています。

Dependabot Pull Requestのリベース戦略を変更する

デフォルトでは、Dependabot は自動的にプルリクエストをリベースして競合を解決します。 マージの競合を手動で処理する場合は、rebase-strategy オプションを使用してこれを無効にできます。 詳細については「dependabot.ymlファイルの設定オプション」を参照してください。

Dependabot Pull Requestをコメントコマンドで管理する

Dependabot はコメント内の単純なコマンドに応答します。 それぞれのPull Requestには、"Dependabot commands and options"セクションの下に、そのPull Requestを処理するのに使えるコマンド(たとえばPull Requestのマージ、squash、再オープン、クローズ、リベース)の詳細があります。 これらの自動生成されたプルリクエストをできるだけ簡単にトリアージできるようにすることが目的です。

Dependabot Pull Requestでは、以下のいずれのコマンドを使うこともできます。

  • @dependabot cancel mergeは以前にリクエストされたマージをキャンセルします。
  • @dependabot closeは、Pull Requestをクローズし、DependabotがそのPull Requestを再生成しないようにします。 同じ結果は、Pull Requestを手動でクローズしても得られます。
  • @dependabot ignore this dependencyは、Pull Requestをクローズし、Dependabotがこの依存関係からそれ以上Pull Requestを生成しないようにします(あなたがこのPull Requestを再オープンするか、依存関係を提案されたバージョンへアップグレードしないかぎり)。
  • @dependabot ignore this major versionはPull Requestをクローズし、Dependabotがこのメジャーバージョンからそれ以上Pull Requestを生成しないようにします(あなたがこのPull Requestを再オープンするか、このメジャーバージョンへアップグレードしないかぎり)。
  • @dependabot ignore this minor versionはPull Requestをクローズし、Dependabotがこのマイナーバージョンからそれ以上Pull Requestを生成しないようにします(あなたがこのPull Requestを再オープンするか、このマイナーバージョンへアップグレードしないかぎり)。
  • @dependabot mergeは、CIテストがパスしたらPull Requestをマージします。
  • @dependabot rebaseはPull Requestをリベースします。
  • @dependabot recreateはPull Requestを再生成し、Pull Requestに対して行われた編集をすべて上書きします。
  • @dependabot reopenは、Pull Requestがクローズされていればそれを再オープンします。
  • @dependabot squash and mergeはCIテストがパスしたら、Pull Requestをsquashしてマージします。

Dependabotはコマンドを認識すると"thumbs up"の絵文字で反応し、Pull Requestのコメントで応答することがあります。 Dependabotは通常すぐに反応しますが、コマンドによってはDependabotが他の更新やコマンドを処理するのに忙しい場合、完了に数分かかることがあります。

依存関係やバージョンを無視するコマンドを実行すると、Dependabot はリポジトリの設定を一元的に保存します。 これは簡単な解決策ですが、複数のコントリビューターがいるリポジトリの場合は、設定ファイルで無視する依存関係とバージョンを明示的に定義することをお勧めします。 これにより、特定の依存関係が自動的に更新されない理由をすべてのコントリビューターが簡単に確認できます。 詳しい情報については「dependabot.ymlファイルの設定オプション」を参照してください。