Dependabot PreviewとGitHub-nativeなDependabotの違いで分かったこと

書くこと

以下のようなPRがGitHubに買収前からDependabotを使っているリポジトリに届いた。

https://github.com/nwtgck/piping-ui-web/pull/859#issue-625627928

GitHubに統合されてしばらくたち、統合後すぐに乗り換えることも可能だったが、十分満足して使えていたのとDependabotの設定をGit管理する優位性を感じなくむしろ管理外だったことに満足していて乗り換えていなかった。だがDependabot Previewが終了し移行する必要が出たため上記ののPRから分かることを書く。

分かったこと

Dependabot Previewは2021/8/3に終了しGithub-nativeなDependabotに移行する必要がある。

GitHub上のDependabotのページで更新の確認や設定が可能: https://github.com/<owner>/<repo>/network/updates

live更新が廃止された。一番更新間隔が短いのはdailyだと思う。

以下のように書かれているため復活する可能性もある。

We hope to bring these back in the future.

https://docs.github.com/en/code-security/supply-chain-security/upgrading-from-dependabotcom-to-github-native-dependabot

無制限にPRを生成しなくなり有限になった。(PR上99に設定されているが上限はまだ不明)

PR上で以下のように設定ファイルのバリデーションをしてくれる。

https://gyazo.com/d713c1450375a2428719a5b987f18e66

いくつかのPRを見て、設定ファイルのignore: に割と多く指定されていると思った。@dependabot ignore ...のコマンドで指定した覚えのないものも多く含まれている印象があった。ignoreが少なく@dependabot ignore ...したことのないリポジトリで確認したところ、予想はしていたがPR closeされたことのあるバージョンだった。

Dependabot cant read secrets anymore · Issue #3253 · dependabot/dependabot-core によるとcredentialがDependabotが作ったPRには与えられないというらしい。まだ実際に試していないが本当ならこれはGitHub-nativeなDependabotにするとかなり不便になりそう。

元: https://github.com/nwtgck/actions-netlify/issues/529#issue-875123763

version: 2とあることから1つ前のバージョンなら上記で廃止された機能も設定ファイルで指定できたかもしれない。

追記 2021/8/9:

rebaseをお願いしたら、以下のメッセージが出るようになった。

https://gyazo.com/1826fc3e5dfd7c350067d3dfd0843580