ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

依存関係の更新の設定オプション

GitHub Dependabot がリポジトリを維持する方法をカスタマイズする場合に使用可能なすべてのオプションの詳細情報。

リポジトリへの書き込み権限を持つユーザは、リポジトリの GitHub Dependabot を設定できます。

ここには以下の内容があります:

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

OR, learn how to contribute.

ノート: GitHub Dependabotバージョンアップデートは現在ベータで、変更されることがあります。 このベータの機能を使うにはGitHub Dependabotに対してどの依存関係を管理してもらうかを知らせる設定ファイルをチェックインしてください。 詳細については「バージョンアップデートの有効化と無効化」を参照してください。

dependabot.yml ファイルについて

GitHub Dependabot の設定ファイルである dependabot.yml では YAML 構文を使用します。 YAMLについて詳しくなく、学んでいきたい場合は、「Learn YAML in five minutes (5分で学ぶYAML)」をお読みください。

このファイルは、リポジトリの .github ディレクトリに保存する必要があります。 dependabot.yml ファイルを追加または更新すると、即座にバージョン更新を確認します。 セキュリティアップデートに影響するオプションは、次にセキュリティアラートがセキュリティアップデートのプルリクエストをトリガーするときにも使用されます。 詳しい情報については、「バージョン更新の有効化と無効化」および「GitHub Dependabotセキュリティアップデート を設定する」を参照してください。

dependabot.yml の設定オプション

dependabot.yml ファイルは、version: 2 で始まり、その後に updates の配列が続く形である必要があります。

Option必須説明
package-ecosystemX使用するパッケージマネージャー
directoryXパッケージマニフェストの場所
schedule.intervalX更新を確認する頻度
allow許可する更新をカスタマイズする
assigneesプルリクエストのアサイン担当者
commit-messageコミットメッセージの環境設定
ignore特定の依存関係またはバージョンを無視する
labelsプルリクエストに設定するラベル
マイルストーンプルリクエストに設定するマイルストーン
open-pull-requests-limitバージョン更新時のオープンなプルリクエスト数を制限する
pull-request-branch-name.separatorプルリクエストブランチ名の区切り文字を変更する
rebase-strategy自動リベースを無効にする
reviewersプルリクエストのレビュー担当者
schedule.day更新を確認する曜日
schedule.time更新を確認する時刻 (hh:mm)
schedule.timezone時刻のタイムゾーン(ゾーン識別子)
target-branchプルリクエストを作成するブランチ
vendorUpdate vendored or cached dependencies
versioning-strategyマニフェストのバージョン要件の更新方法

これらのオプションは、次のようなカテゴリに幅広く適合しています。

さらに、open-pull-requests-limit オプションでは、GitHub Dependabot が開くことができるバージョン更新のプルリクエストの最大数を変更できます。

注釈: これらの設定オプションの一部は、脆弱性のあるパッケージマニフェストのセキュリティアップデートのために発行されたプルリクエストにも影響を与える可能性があります。

脆弱性のあるパッケージマニフェストのセキュリティアップデートは、デフォルトブランチでのみ発生します。 設定オプションが同じブランチに設定され(target-branch を使用しない場合は true)、脆弱性のあるマニフェストの package-ecosystemdirectory を指定している場合、セキュリティアップデートのプルリクエストで関連オプションが使用されます。

一般に、セキュリティアップデートでは、メタデータの追加や動作の変更など、プルリクエストに影響する設定オプションが使用されます。 セキュリティアップデートに関する詳しい情報については、「GitHub Dependabotセキュリティアップデート を設定する」を参照してください。

package-ecosystem

必須 GitHub Dependabot で新しいバージョンを監視するパッケージマネージャーごとに、package-ecosystem 要素を1つ追加してください。 リポジトリには、これらの各パッケージマネージャーの依存関係マニフェストまたはロックファイルも含まれている必要があります。 If you want to enable vendoring for a package manager that supports it, the vendored dependencies must be located in the required directory. For more information, see vendor below.

パッケージマネージャーSupports vendoring
Bundler: bundlerX
Cargo: cargo
Composer: composer
Docker: docker
Elm: elm
gitサブモジュール:gitsubmodule
GitHub Actions: github-actions
Goモジュール:gomod
Gradle: gradle
Maven: maven
Mix: mix
npm: npm
NuGet: nuget
pip: pip
Terraform: terraform

Note: Dependabot also supports the following package managers:

-yarn (v1 only) (specify npm)

-pipenv, pip-compile, and poetry (specify pip)

For example, if you use poetry to manage your Python dependencies and want Dependabot to monitor your dependency manifest file for new versions, use package-ecosystem: "pip" in your dependabot.yml file.

# 3つのパッケージマネージャー用の基本設定

version: 2
updates:

  # GitHub アクションの依存関係を維持する
  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      interval: "daily"

  # npm の依存関係を維持する
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"

  # Composer の依存関係を維持する
  - package-ecosystem: "composer"
    directory: "/"
    schedule:
      interval: "daily"

directory

必須 各パッケージマネージャー(package.jsonGemfile など)のパッケージマニフェストの場所を定義する必要があります。 GitHub Actions 以外のすべてのエコシステムで、リポジトリのルートに対する相対ディレクトリを定義します。 GitHub Actions の場合、ディレクトリを / に設定し、.github/workflows でワークフローファイルを確認します。

# 各パッケージマネージャーのマニフェストファイルの場所を指定する

version: 2
updates:
  - package-ecosystem: "composer"
    # リポジトリのルートに保存されているファイル
    directory: "/"
    schedule:
      interval: "daily"

  - package-ecosystem: "npm"
    # 「app」ディレクトリに保存されているファイル
    directory: "/app"
    schedule:
      interval: "daily"

  - package-ecosystem: "github-actions"
    # 「.github / workflows」のデフォルトの場所に
    # 保存されたワークフローファイル
    directory: "/"
    schedule:
      interval: "daily"

schedule.interval

必須 新しいバージョンをチェックする頻度を定義し、各パッケージマネージャーにバージョン更新のプルリクエストを発行する必要があります。 デフォルトでは、午前 5 時 (UTC) に設定されています。 これを変更するには、schedule.timeschedule.timezone を使用します。

  • 毎日: 月曜日~金曜日の平日に実行されます。
  • 毎週: 毎週 1 回実行されます。 デフォルトでは月曜日に設定されています。 これを変更するには、schedule.day を使用します。
  • 毎月: 毎月 1 回実行されます。 その月の最初の日に設定されています。
# 各パッケージマネージャーの更新スケジュールを設定する

version: 2
updates:

  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      # GitHub Actions の更新を毎週確認する
      interval: "daily"

  - package-ecosystem: "composer"
    directory: "/"
    schedule:
      # 週に 1 回、Composer が管理する更新を確認する
      interval: "weekly"

allow

デフォルトでは、マニフェストあるいはロックファイルで明示的に定義されたすべての依存関係は、最新の状態に保たれます。 バージョンアップデートでどの依存関係を管理するかは、allowignoreを使ってカスタマイズできます。 GitHub Dependabotは許可されたすべての依存関係をチェックし、それから蒸しされた依存関係やバージョンをフィルタリングします。 そのため、allowignoreの両方にマッチした依存関係は無視されます。

更新する依存関係をカスタマイズするには、allow オプションを使用します。 これは、脆弱性のある依存関係のセキュリティアップデートに影響しません。 次のオプションを使用できます。

  • dependency-name: 名前が一致する依存関係の更新を許可するために使用し、必要に応じて * を使用して 0 文字以上の文字と一致させます。 Java の依存関係の場合、dependency-name 属性のフォーマットは groupId:artifactId です(org.kohsuke:github-api など)。

  • dependency-type: 特定の種類の依存関係の更新を許可するために使用します。

    依存関係の種類パッケージマネージャーによるサポート更新の許可
    directすべて明示的に定義されたすべての依存関係。
    indirectbundlerpipcomposercargo直接依存関係の依存関係 (サブ依存関係、または過渡依存関係とも呼ばれる)。
    すべてすべて明示的に定義されたすべての依存関係。 bundlerpipcomposercargo についても、直接依存関係の依存関係になります。
    productionbundlercomposermix, mavennpmpip[Product dependency group] 内の依存関係のみ。
    developmentbundlercomposermix, mavennpmpip[Development dependency group] 内の依存関係のみ。
# 「allow」で維持する依存関係をカスタマイズする

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    allow:
      # Lodash の更新を許可する
      - dependency-name: "lodash"
      # React と「react」で始まるすべてのパッケージの更新を許可する
      - dependency-name: "react*"

  - package-ecosystem: "composer"
    directory: "/"
    schedule:
      interval: "daily"
    allow:
      # すべてのパッケージの直接更新と間接更新の両方を許可する
      - dependency-type: "all"

  - package-ecosystem: "pip"
    directory: "/"
    schedule:
      interval: "daily"
    allow:
      # Djangoと「django」で始まる
      # すべてのパッケージの直接更新のみを許可する
      - dependency-name: "django*"
        dependency-type: "direct"
      # Sphinx の製品の更新のみを許可する
      - dependency-name: "sphinx"
        dependency-type: "production"

assignees

assignees を使用して、パッケージマネージャーに対して発行されたすべてのプルリクエストの個々の担当者を指定します。

このオプションの設定も、target-branchを使って非デフォルトブランチのバージョンアップデートをチェックしないかぎり、このパッケージマネージャのマニフェストファイルに対するセキュリティアップデートのプルリクエストに影響します。

# プルリクエストの担当者を指定する

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    # 担当者を追加する
    assignees:
      - "octocat"

commit-message

デフォルトでは、GitHub Dependabot はコミットメッセージの設定を検出し、同様のパターンを使用しようとします。 commit-message オプションを使用して、環境設定を明示的に指定します。

対応しているオプション

  • prefix では、すべてのコミットメッセージのプレフィックスを指定します。
  • prefix-development は、Development の依存関係グループ内の依存関係を更新するすべてのコミットメッセージに個別のプレフィックスを指定します。 このオプションの値を指定すると、prefix は、Production の依存関係グループの依存関係の更新にのみ使用されます。 これは、bundlercomposermixmavennpmpip に対応しています。
  • include: "scope" では、任意のプレフィックスの後に、コミットで更新された依存関係のリストが続くことを指定します。

このオプションの設定も、target-branchを使って非デフォルトブランチのバージョンアップデートをチェックしないかぎり、このパッケージマネージャのマニフェストファイルに対するセキュリティアップデートのプルリクエストに影響します。

# コミットメッセージをカスタマイズする

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    commit-message:
      # すべてのコミットメッセージのプレフィックスに「npm」を付ける
      prefix: "npm"

  - package-ecosystem: "composer"
    directory: "/"
    schedule:
      interval: "daily"
    # すべてのコミットメッセージのプレフィックスに「Composer」を付け
    # 更新された依存関係のリストを含める
    commit-message:
      prefix: "Composer"
      include: "scope"

  - package-ecosystem: "pip"
    directory: "/"
    schedule:
      interval: "daily"
    # 依存関係グループによって決められたプレフィックスを持つ
    # 更新された依存関係のリストを含める
    commit-message:
      prefix: "pip prod"
      prefix-development: "pip dev"
      include: "scope"

ignore

警告: 設定ファイルのdependabot.ymlignoreオプションを追加する前に、リポジトリがすでに無視の設定(@dependabot ignoreコマンドを使って作成されたもの)を持っていないかを確認してください。 設定ファイルのdependabot.ymlignoreオプションを追加すると、そのパッケージマネージャ、ブランチ、ディレクトリに集中して保存された無視の設定は、すべて上書きされます。

これは、セキュリティとバージョンアップデートの両方に影響します。

ignore の既存の設定を確認する

設定ファイルに ignore オプションを追加する前に、セキュリティアップデートまたはバージョンアップデートのプルリクエストで @dependabot ignore コマンドのいずれかを以前に使用したことがあるかどうかを確認します。 GitHub Dependabot は、各パッケージマネージャーのこれらの環境設定を一元的に保存し、この情報は ignore オプションによって上書きされます。 @dependabot ignore コマンドに関する詳細については、「依存関係の更新に関するプルリクエストを管理する」をご覧ください。

リポジトリで "@dependabot ignore" in:comments を検索して、リポジトリに設定が保存されているかどうかを確認できます。 検索結果でプルリクエストを確認する場合、無視された依存関係またはバージョンを設定ファイルで指定するかどうかを決めることができます。

無視する依存関係とバージョンを指定する

デフォルトでは、マニフェストあるいはロックファイルで明示的に定義されたすべての依存関係は、最新の状態に保たれます。 バージョンアップデートでどの依存関係を管理するかは、allowignoreを使ってカスタマイズできます。 GitHub Dependabotは許可されたすべての依存関係をチェックし、それから蒸しされた依存関係やバージョンをフィルタリングします。 そのため、allowignoreの両方にマッチした依存関係は無視されます。

ignore オプションを使用して、更新する依存関係をカスタマイズできます。 ignore オプションは、次のオプションに対応しています。

  • dependency-name: 名前が一致する依存関係の更新を無視するために使用し、必要に応じて * を使用して 0 文字以上の文字と一致させます。 Java の依存関係の場合、dependency-name 属性のフォーマットは groupId:artifactId です(org.kohsuke:github-api など)。
  • versions: 特定のバージョンまたはバージョンの範囲を無視するために使用します。 範囲を定義する場合は、パッケージマネージャーの標準パターンを使用します(例: npm の場合は ^1.0.0、Bundler の場合は ~> 2.0)。

このオプションの設定も、target-branchを使って非デフォルトブランチのバージョンアップデートをチェックしないかぎり、このパッケージマネージャのマニフェストファイルに対するセキュリティアップデートのプルリクエストに影響します。

# 「ignore」で維持する依存関係をカスタマイズする

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "express"
        # Express の場合、バージョン 4 と 5 のすべての更新を無視する
        versions: ["4.x", "5.x"]
        # Loadash の場合、すべての更新を無視する
      - dependency-name: "loadash"

構成ファイルの ignore オプションにプライベート依存関係を追加しても、GitHub Dependabotバージョンアップデート はプライベート Git 依存関係またはプライベート Git レジストリを含むマニフェストの依存関係のバージョン更新を実行できません。 詳しい情報については、「GitHub Dependabotバージョンアップデート について」を参照してください。

labels

デフォルトでは、GitHub Dependabotはすべてのプルリクエストをdependenciesラベルを付けて発行します。 If more than one package manager is defined, Dependabot includes an additional label on each pull request. これは、そのプルリクエストがどの言語あるいはエコシステムを更新するするのかを示します。たとえばGradleの更新にはjava、Gitサブモジュールの更新にはsubmodulesというようになります。 GitHub Dependabotは、リポジトリ中の必要に応じて自動的にこれらのデフォルトラベルを作成します。

labels を使用してデフォルトのラベルを上書きし、パッケージマネージャーに対して発行されたすべてのプルリクエストに代替のラベルを指定します。 これらのラベルのいずれかがリポジトリで定義されていない場合は無視されます。 デフォルトのラベルを含むすべてのラベルを無効にするには、labels: [ ] を使用します。

このオプションの設定も、target-branchを使って非デフォルトブランチのバージョンアップデートをチェックしないかぎり、このパッケージマネージャのマニフェストファイルに対するセキュリティアップデートのプルリクエストに影響します。

# プルリクエストのラベルを指定する
version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    # npm プルリクエストのラベルを指定する
    labels:
      - "npm"
      - "dependencies"

マイルストーン

milestone を使用して、パッケージマネージャーに対して発行されたすべてのプルリクエストをマイルストーンに関連付けます。 ラベルではなくマイルストーンの数値識別子を指定する必要があります。 マイルストーンを表示する場合、milestone の後の、ページ URL の最後の部分が識別子になります。 たとえば、https://github.com/<org>/<repo>/milestone/3 などです。

このオプションの設定も、target-branchを使って非デフォルトブランチのバージョンアップデートをチェックしないかぎり、このパッケージマネージャのマニフェストファイルに対するセキュリティアップデートのプルリクエストに影響します。

# プルリクエストのマイルストーンを指定する

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    # プルリクエストをマイルストーン「4」に関連付ける
    milestone: 4

open-pull-requests-limit

デフォルトでは、GitHub Dependabot は、バージョン更新に対して最大 5 つのプルリクエストをオープンします。 5 つのプルリクエストがオープンになると、オープンになっているリクエストの一部をマージまたはクローズするまで、新しいリクエストはブロックされます。 この制限を変更するには、open-pull-requests-limit を使用します。 これは、パッケージマネージャーのバージョン更新を一時的に無効にする簡単な方法としても使用できます。

このオプションはセキュリティアップデートに影響を与えません。セキュリティアップデートには、10 件のオープンプルリクエストの内部制限があります。

# 許可するオープンプルリクエストの数を変更する

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    # npm 依存関係のバージョン更新を無効にする
    open-pull-requests-limit: 0

  - package-ecosystem: "pip"
    directory: "/"
    schedule:
      interval: "daily"
    # pip 依存関係のオープンプルリクエストを最大 10 件許可する
    open-pull-requests-limit: 10

pull-request-branch-name.separator

GitHub Dependabot は、プルリクエストごとにブランチを生成します。 各ブランチ名には、dependabot および更新されたパッケージマネージャーと依存関係が含まれます。 デフォルトでは、これらの部分は / 記号で区切られています。たとえば、dependabot/npm_and_yarn/next_js/acorn-6.4.1 のような形です。

別の区切り文字を指定するには、 pull-request-branch-name.separator を使用します。 "-"_/ などが使用できます。 ハイフン記号は、引用符で囲む必要があります。囲まない場合、空の YAML リストを開始すると解釈されます。

このオプションの設定も、target-branchを使って非デフォルトブランチのバージョンアップデートをチェックしないかぎり、このパッケージマネージャのマニフェストファイルに対するセキュリティアップデートのプルリクエストに影響します。

# ブランチ名に別の区切り文字を指定する

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    pull-request-branch-name:
      # ブランチ名のセクションをハイフンで区切ります
      # 例: dependabot-npm_and_yarn-next_js-acorn-6.4.1
      separator: "-"

rebase-strategy

デフォルトでは、GitHub Dependabot は、競合を検出すると、オープンなプルリクエストを自動的にリベースします。 この動作を無効にするには、rebase-strategy を使用します。

利用可能なリベース戦略

  • disabled で自動リベースを無効にします。
  • auto をデフォルトの動作に使用し、競合が検出されたときにオープンなプルリクエストをリベースします。

このオプションの設定も、target-branchを使って非デフォルトブランチのバージョンアップデートをチェックしないかぎり、このパッケージマネージャのマニフェストファイルに対するセキュリティアップデートのプルリクエストに影響します。

# 自動リベースを無効にする

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    # npm プルリクエストのリベースを無効にする
    rebase-strategy: "disabled"

reviewers

reviewers を使用して、パッケージマネージャーに対して発行されたすべてのプルリクエストの個々のレビュー担当者またはレビュー担当者の Team を指定します。 チームを@メンションしている場合と同様に、Organization を含む完全な Team 名を使用する必要があります。

このオプションの設定も、target-branchを使って非デフォルトブランチのバージョンアップデートをチェックしないかぎり、このパッケージマネージャのマニフェストファイルに対するセキュリティアップデートのプルリクエストに影響します。

# プルリクエストのレビュー担当者を指定する

version: 2
updates:
  - package-ecosystem: "pip"
    directory: "/"
    schedule:
      interval: "daily"
    # レビュー担当者を追加する
    reviewers:
      - "octocat"
      - "my-username"
      - "my-org/python-team"

schedule.day

更新スケジュールを weekly で設定すると、デフォルトで GitHub Dependabot は月曜日の 5:00 (UTC) に新しいバージョンをチェックします。 schedule.day を使用して、更新をチェックする代替日を指定します。

サポートされている値

  • monday
  • tuesday
  • wednesday
  • thursday
  • friday
  • saturday
  • sunday
# 週次のチェック日を指定する

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
      # 毎週日曜日に npm の更新をチェックする
      day: "sunday"

schedule.time

デフォルトでは、GitHub Dependabot は 5:00(UTC) に新しいバージョンをチェックします。 schedule.time を使用して、更新をチェックする別の時刻を指定します(形式: hh:mm)。

# チェックする時刻を設定する
version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
      # 午前 9 時 (UTC) に npm の更新をチェックする
      time: "09:00"

schedule.timezone

デフォルトでは、GitHub Dependabot は 5:00(UTC) に新しいバージョンをチェックします。 別のタイムゾーンを指定するには、schedule.timezone を使用します。 タイムゾーン識別子は、iana が管理するタイムゾーンデータベースのものである必要があります。 詳しい情報については、List of tz database time zones を参照してください。

# チェック時のタイムゾーンを指定する

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
      time: "09:00"
      # 日本標準時 (UTC +09:00) を使用する
      timezone: "Asia/Tokyo"

target-branch

デフォルトでは、GitHub Dependabot はデフォルトのブランチでマニフェストファイルをチェックし、このブランチに対するバージョン更新のプルリクエストを発行します。 target-branch を使用して、マニフェストファイルとプルリクエストに別のブランチを指定します。 このオプションを使用すると、このパッケージマネージャーの設定は、セキュリティアップデートのために発行されたプルリクエストに影響しなくなります。

# pip のプルリクエストにデフォルト以外のブランチを指定する

version: 2
updates:
  - package-ecosystem: "pip"
    directory: "/"
    schedule:
      interval: "daily"
    # 「develop」ブランチに対して pip する
    # バージョン更新のプルリクエストを発行する
    target-branch: "develop"
    # バージョン更新のみのプルリクエストのラベル
    labels:
      - "pip dependencies"

  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
      # 毎週日曜日に npm の更新を確認する
      day: "sunday"
    # セキュリティおよびバージョン更新に対するプルリクエストのラベル
    labels:
      - "npm dependencies"

vendor

Use the vendor option to tell Dependabot to vendor dependencies when updating them.

Currently, Dependabot only supports vendoring dependencies for Bundler.

# Configure version updates for both dependencies defined in manifests and vendored dependencies

version: 2
updates:
  - package-ecosystem: "bundler"
    # Raise pull requests to update vendored dependencies that are checked in to the repository
    vendor: true
    directory: "/"
    schedule:
      interval: "weekly"

Dependabot only updates the vendored dependencies located in specific directories in a repository. For Bundler, the dependencies must be in the vendor/cache directory. Other file paths are not supported. For more information, see the bundle cache documentation.

versioning-strategy

GitHub Dependabot がマニフェストファイルを編集してバージョンを更新する場合、次の全体的な戦略を使用します。

  • アプリケーションでは、バージョン要件が増えます(npm、pip、Composer など)。
  • ライブラリでは、バージョンの範囲が広がります(Bundler や Cargo など)。

サポートされているパッケージマネージャーでこの動作を変更するには、version-stratege オプションを使用します。

このオプションの設定も、target-branchを使って非デフォルトブランチのバージョンアップデートをチェックしないかぎり、このパッケージマネージャのマニフェストファイルに対するセキュリティアップデートのプルリクエストに影響します。

利用可能な更新戦略

Optionサポートアクション
lockfile-onlybundlercargocomposermixnpmpipロックファイルアップデートを更新するプルリクエストのみを作成します。 パッケージマニフェストの変更が必要になる新しいバージョンは無視します。
autobundlercargocomposermixnpmpip前述のデフォルトの戦略に従います。
widencomposernpm可能であれば、バージョン要件を緩和して、新旧両方のバージョンを含めます。
increasebundlercomposernpm新しいバージョンに一致するように、常にバージョン要件を増やします。
increase-if-necessarybundlercomposernpm新しいバージョンで必要な場合にのみ、バージョン要件を増やします。
# マニフェストのバージョン戦略をカスタマイズする

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    # npm マニフェストファイルを更新して
    # バージョン要件を緩和する
    versioning-strategy: widen

  - package-ecosystem: "composer"
    directory: "/"
    schedule:
      interval: "daily"
    # 必要な場合にのみ Composer の
    # バージョン要件を増やす
    versioning-strategy: increase-if-necessary

  - package-ecosystem: "pip"
    directory: "/"
    schedule:
      interval: "daily"
    # pip のロックファイルの更新のみを許可し、
    # マニフェストに影響するバージョンの更新を無視する
    versioning-strategy: lockfile-only

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

OR, learn how to contribute.