Dependabotとは何ですか？

GitHubが提供する依存パッケージ自動更新ツール。セキュリティ脆弱性の検知と自動修正PRの作成も行う

Dependabotのポイントは？

GitHubリポジトリの依存パッケージを自動で更新するプルリクエストを作成する。セキュリティ脆弱性が見つかったパッケージを優先的にアラート・修正してくれる。GitHubに標準搭載されており、設定ファイルを置くだけで有効化できる。npm、pip、Maven、Go modules、Dockerなど多数のエコシステムに対応

【ディペンダボット】

Dependabot とは？

💡 GitHubに住む番人ロボ！脆弱なライブラリを見つけて自動修正

📌 このページのポイント

GitHub リポジトリの依存パッケージを自動で更新するプルリクエストを作成する
セキュリティ脆弱性が見つかったパッケージを優先的にアラート・修正してくれる
GitHubに標準搭載されており、設定ファイルを置くだけで有効化できる
npm、pip、Maven、Go modules、Dockerなど多数のエコシステムに対応

Dependabot の2つの機能のイメージ

ひよこ

Dependabotってどうやって使うの？

ペンギン先生

GitHub リポジトリに `.github/dependabot.yml` というファイルを置くだけだよ。更新したいパッケージエコシステムとチェック頻度を書けば、Dependabotが自動でPRを作ってくれるんだ。GitHubに標準搭載だから追加のインストールも不要だよ

ひよこ

セキュリティアラートって何なの？

ペンギン先生

GitHubがCVE データベース（世界的な脆弱性情報のデータベース）と連携して、リポジトリが使っている依存パッケージに既知の脆弱性がないか常にチェックしているんだ。見つかるとDependabot Alertsとして通知してくれて、自動で修正PRまで作ってくれるよ

ひよこ

RenovateとDependabot、どっちを使えばいいの？

ペンギン先生

GitHubだけで完結するプロジェクトならDependabotが手軽でおすすめだよ。設定も少なくてすぐ使える。一方、GitLab も使っていたり、更新ルールを細かくカスタマイズしたかったりする場合はRenovateのほうが柔軟性が高いんだ

ひよこ

自動更新PRって、テストが通らないこともあるよね？

ペンギン先生

あるある。だからCI/CDと組み合わせるのが大事なんだ。DependabotのPRに対して自動テストが走るように設定しておけば、テストが通ったものだけマージすればいい。GitHub Actionsとの連携が簡単なのもDependabotの強みだよ

ひよこ

Dependabotを使うときに気をつけることってあるの？

ペンギン先生

意外と知られていないけど、Dependabotはモノレポ（複数パッケージが1リポジトリにある構成）だと設定が複雑になるんだ。パッケージごとに更新設定を書く必要があるよ。あと、Dependabotのバージョン更新PRとセキュリティ更新PRは別の仕組みで動いていて、セキュリティ更新は設定ファイルがなくてもデフォルトで有効になっているんだよ

まとめ：ざっくりこれだけ覚えればOK！

「Dependabot」って出てきたら「GitHubの依存パッケージ自動更新・脆弱性対策ボット」と思えればだいたいOK！

📖 おまけ：英語の意味

「Dependency Robot」＝依存関係ロボット

💬 「Dependency（依存関係）」と「Robot（ロボット）」を組み合わせた造語で、依存パッケージを自動管理するロボットという意味だよ

← 用語集にもどる