ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

About GitHub Dependabot version updates

You can use GitHub Dependabot to keep the packages you use updated to the latest versions.

ここには以下の内容があります:

ノート: GitHub Dependabotバージョンアップデートは現在ベータで、変更されることがあります。 このベータの機能を使うにはGitHub Dependabotに対してどの依存関係を管理してもらうかを知らせる設定ファイルをチェックインしてください。 詳細については「バージョンアップデートの有効化と無効化」を参照してください。

About GitHub Dependabotバージョンアップデート

GitHub Dependabot takes the effort out of maintaining your dependencies. You can use it to ensure that your repository automatically keeps up with the latest releases of the packages and applications it depends on.

You enable GitHub Dependabotバージョンアップデート by checking a configuration file in to your repository. The configuration file specifies the location of the manifest, or other package definition files, stored in your repository. Dependabot uses this information to check for outdated packages and applications. Dependabot determines if there is a new version of a dependency by looking at the semantic versioning (semver) of the dependency to decide whether it should update to that version. When Dependabot identifies an outdated dependency, it raises a pull request to update the manifest to the latest version of the dependency. You check that your tests pass, review the changelog and release notes included in the pull request summary, and then merge it. For more information, see "Enabling and disabling version updates."

If you enable security updates, GitHub Dependabot also raises pull requests to update vulnerable dependencies. For more information, see "Configuring GitHub Dependabotセキュリティアップデート."

GitHub Dependabot and all related features are covered by GitHub's Terms of Service.

Frequency of GitHub Dependabot pull requests

You specify how often to check each ecosystem for new versions in the configuration file: daily, weekly, or monthly.

最初にバージョンアップデートを有効にすると、古くなった依存関係が大量にあり、中には最新バージョンまでにいくつものバージョンが存在しているものもあるかもしれません。 GitHub Dependabotは、アプリケーションがインストールされるとすぐに古くなった依存関係をチェックします。 設定が更新するマニフェストファイルの数に応じて、設定ファイルの追加後数分のうちに、バージョンアップデートの新しいプルリクエストが発行されるかもしれません。

プルリクエストを管理できてレビューしやすくしておくために、アプリケーソンは依存関係を最新バージョンにし始めるためのプルリクエストを最大で5つ発行します。 次にスケジュールされているアップデートの前にこれらの最初のプルリクエストをいくつかマージしたなら、それ以降のプルリクエストは最大で5つ(この上限は変更できます)オープンされます。

If you've enabled security updates, you'll sometimes see extra pull requests for security updates. These are triggered by a Dependabot alert for a dependency on your default branch. GitHub Dependabot automatically raises a pull request to update the vulnerable dependency.

Supported repositories and ecosystems

Currently, GitHub Dependabotバージョンアップデート doesn't support manifest or lock files that contain any private git dependencies or private git registries. This is because, when running version updates, Dependabot must be able to resolve all dependencies from their source to verify that version updates have been successful. However, if you want to enable version updates for dependency manifests or lock files that do contain private dependencies, you can still enable Dependabot preview.

You can configure version updates for repositories that contain a dependency manifest or lock file for one of the supported package managers.

  • Bundler: bundler
  • Cargo: cargo
  • Composer: composer
  • Docker: docker
  • Elm: elm
  • gitサブモジュール:gitsubmodule
  • GitHub Actions: github-actions
  • Goモジュール:gomod
  • Gradle: gradle
  • Maven: maven
  • Mix: mix
  • npm: npm
  • NuGet: nuget
  • pip: pip
  • Terraform: terraform

If your repository already uses an integration for dependency management, you will need to disable this before enabling GitHub Dependabot. For more information, see "About integrations."

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください