Note: Dependabot security and version updates are currently in private beta and subject to change. Please contact your account management team for instructions on enabling Dependabot updates.
Note: Your site administrator must set up Dependabot updates for GitHub Enterprise Serverインスタンス before you can use this feature. 詳しい情報については「EnterpriseでのDependabotの有効化」を参照してください。
Dependabot のPull Requestについて
Dependabot は、依存関係を更新するPull Requestを生成します。 リポジトリの設定によっては、Dependabot がバージョン更新やセキュリティアップデートのPull Requestを発行する場合があります。 これらのPull Requestは、他のPull Requestと同じ方法で管理しますが、追加のコマンドもいくつか用意されています。 For information about enabling Dependabot dependency updates, see "Configuring Dependabotセキュリティアップデート" and "Enabling and disabling Dependabot version updates."
Dependabot がプルリクエストを発行すると、リポジトリに対して選択した方法で通知されます。 各プルリクエストには、パッケージマネージャーから取得した、提案された変更に関する詳細情報が含まれています。 これらのプルリクエストは、リポジトリで定義されている通常のチェックとテストに従います。
管理する依存関係が多数ある場合は、各パッケージマネージャーの設定をカスタマイズして、プルリクエストに特定のレビュー担当者、アサインされた人、ラベルを付けることができます。 詳しい情報については、「依存関係の更新をカスタマイズする」をご覧ください。
Dependabot のPull Requestを表示する
- GitHub Enterprise Serverインスタンスで、リポジトリのメインページにアクセスしてください。
- リポジトリ名の下で、クリックします
Pull requests

- セキュリティあるいはバージョン更新のPull Requestは、簡単に特定できます。
- 作者はdependabotで、Dependabotで使用されるボットアカウントです。
- デフォルトでは、
dependencies
ラベルが付いています。
Dependabot Pull Requestのリベース戦略を変更する
デフォルトでは、Dependabot は自動的にプルリクエストをリベースして競合を解決します。 マージの競合を手動で処理する場合は、rebase-strategy
オプションを使用してこれを無効にできます。 詳細については「dependabot.ymlファイルの設定オプション」を参照してください。
Dependabot Pull Requestをコメントコマンドで管理する
Dependabot はコメント内の単純なコマンドに応答します。 それぞれのPull Requestには、"Dependabot commands and options"セクションの下に、そのPull Requestを処理するのに使えるコマンド(たとえばPull Requestのマージ、squash、再オープン、クローズ、リベース)の詳細があります。 これらの自動生成されたプルリクエストをできるだけ簡単にトリアージできるようにすることが目的です。
Dependabot Pull Requestでは、以下のいずれのコマンドを使うこともできます。
@dependabot cancel merge
は以前にリクエストされたマージをキャンセルします。@dependabot close
は、Pull Requestをクローズし、DependabotがそのPull Requestを再生成しないようにします。 同じ結果は、Pull Requestを手動でクローズしても得られます。@dependabot ignore this dependency
は、Pull Requestをクローズし、Dependabotがこの依存関係からそれ以上Pull Requestを生成しないようにします(あなたがこのPull Requestを再オープンするか、依存関係を提案されたバージョンへアップグレードしないかぎり)。@dependabot ignore this major version
はPull Requestをクローズし、Dependabotがこのメジャーバージョンからそれ以上Pull Requestを生成しないようにします(あなたがこのPull Requestを再オープンするか、このメジャーバージョンへアップグレードしないかぎり)。@dependabot ignore this minor version
はPull Requestをクローズし、Dependabotがこのマイナーバージョンからそれ以上Pull Requestを生成しないようにします(あなたがこのPull Requestを再オープンするか、このマイナーバージョンへアップグレードしないかぎり)。@dependabot merge
は、CIテストがパスしたらPull Requestをマージします。@dependabot rebase
はPull Requestをリベースします。@dependabot recreate
はPull Requestを再生成し、Pull Requestに対して行われた編集をすべて上書きします。@dependabot reopen
は、Pull Requestがクローズされていればそれを再オープンします。@dependabot squash and merge
はCIテストがパスしたら、Pull Requestをsquashしてマージします。
Dependabotはコマンドを認識すると"thumbs up"の絵文字で反応し、Pull Requestのコメントで応答することがあります。 Dependabotは通常すぐに反応しますが、コマンドによってはDependabotが他の更新やコマンドを処理するのに忙しい場合、完了に数分かかることがあります。
依存関係やバージョンを無視するコマンドを実行すると、Dependabot はリポジトリの設定を一元的に保存します。 これは簡単な解決策ですが、複数のコントリビューターがいるリポジトリの場合は、設定ファイルで無視する依存関係とバージョンを明示的に定義することをお勧めします。 これにより、特定の依存関係が自動的に更新されない理由をすべてのコントリビューターが簡単に確認できます。 詳しい情報については「dependabot.ymlファイルの設定オプション」を参照してください。