ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

GitHub Dependabot のバージョンアップデートについて

GitHub Dependabot を使用して、使用するパッケージを最新バージョンに更新しておくことができます。

ここには以下の内容があります:

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

OR, learn how to contribute.

ノート: GitHub Dependabotバージョンアップデートは現在ベータで、変更されることがあります。 このベータの機能を使うにはGitHub Dependabotに対してどの依存関係を管理してもらうかを知らせる設定ファイルをチェックインしてください。 詳細については「バージョンアップデートの有効化と無効化」を参照してください。

GitHub Dependabotバージョンアップデート について

GitHub Dependabot は、依存関係を維持する手間を省きます。 これを使用して、リポジトリが依存するパッケージおよびアプリケーションの最新リリースに自動的に対応できるようにすることができます。

GitHub Dependabotバージョンアップデート を有効にするには、リポジトリに設定ファイルをチェックインします。 設定ファイルでは、リポジトリに保存されているマニフェストまたは他のパッケージ定義ファイルの場所を指定します。 Dependabot はこの情報を使用して、古いパッケージとアプリケーションをチェックします。 Dependabot は、依存関係のセマンティックバージョニング(semver)を調べて、そのバージョンへの更新の必要性を判断することにより、依存関係の新しいバージョンの有無を決定します。 For certain package managers, GitHub Dependabotバージョンアップデート also supports vendoring. Vendored (or cached) dependencies are dependencies that are checked in to a specific directory in a repository, rather than referenced in a manifest. Vendored dependencies are available at build time even if package servers are unavailable. GitHub Dependabotバージョンアップデート can be configured to check vendored dependencies for new versions and update them if necessary.

Dependabot が古い依存関係を特定すると、プルリクエストを発行して、マニフェストを依存関係の最新バージョンに更新します。 For vendored dependencies, Dependabot raises a pull request to directly replace the outdated dependency with the new version. テストに合格したことを確認し、プルリクエストの概要に含まれている変更履歴とリリースノートを確認して、マージします。 詳しい情報については、「バージョン更新の有効化と無効化」を参照してください。

セキュリティアップデートを有効にすると、GitHub Dependabot はプルリクエストを発行し、脆弱性のある依存関係を更新します。 詳しい情報については、「GitHub Dependabotセキュリティアップデート を設定する」を参照してください。

GitHub Dependabot and all related features are covered by GitHub's Terms of Service.

GitHub Dependabot のプルリクエストの頻度

設定ファイルで、新しいバージョンの各エコシステムをチェックする頻度を、毎日、毎週、毎月の中から指定します。

最初にバージョンアップデートを有効にすると、古くなった依存関係が大量にあり、中には最新バージョンまでにいくつものバージョンが存在しているものもあるかもしれません。 GitHub Dependabot checks for outdated dependencies as soon as it's enabled. 設定が更新するマニフェストファイルの数に応じて、設定ファイルの追加後数分のうちに、バージョンアップデートの新しいプルリクエストが発行されるかもしれません。

To keep pull requests manageable and easy to review, Dependabot raises a maximum of five pull requests to start bringing dependencies up to the latest version. 次にスケジュールされているアップデートの前にこれらの最初のプルリクエストをいくつかマージしたなら、それ以降のプルリクエストは最大で5つ(この上限は変更できます)オープンされます。

セキュリティアップデートを有効にした場合、セキュリティアップデートの追加に対するプルリクエストが表示されることがあります。 これらは、デフォルトブランチへの依存関係に対する Dependabot アラートによってトリガーされます。 GitHub Dependabot はプルリクエストを自動的に生成し、脆弱性のある依存関係を更新します。

サポートされているリポジトリとエコシステム

Currently, GitHub Dependabotバージョンアップデート doesn't support manifest or lock files that contain any private git dependencies or private git registries. This is because, when running version updates, Dependabot must be able to resolve all dependencies from their source to verify that version updates have been successful.

サポートされているパッケージマネージャーのいずれかの依存関係マニフェストまたはロックファイルを含むリポジトリのバージョン更新を設定できます。 For some package managers, you can also configure vendoring for dependencies. 詳しい情報については、「依存関係の更新の設定オプション 」を参照してください。

パッケージマネージャーSupports vendoring
Bundler: bundlerX
Cargo: cargo
Composer: composer
Docker: docker
Elm: elm
gitサブモジュール:gitsubmodule
GitHub Actions: github-actions
Goモジュール:gomod
Gradle: gradle
Maven: maven
Mix: mix
npm: npm
NuGet: nuget
pip: pip
Terraform: terraform

Note: Dependabot also supports the following package managers:

-yarn (v1 only) (specify npm)

-pipenv, pip-compile, and poetry (specify pip)

For example, if you use poetry to manage your Python dependencies and want Dependabot to monitor your dependency manifest file for new versions, use package-ecosystem: "pip" in your dependabot.yml file.

リポジトリですでに依存関係管理にインテグレーションを使用している場合は、GitHub Dependabot を有効にする前にそれを無効にする必要があります。 詳しい情報については、「インテグレーションについて」を参照してください。

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

OR, learn how to contribute.