Dependabot で依存関係をまとめて更新する
やりたいこと
Dependabot での依存関係の自動更新は非常に便利だが、デフォルトでは1つのパッケージに対し1つの PR を作成する。
なので、依存の多いアプリケーションでは PR 数がとんでもないことになり、疲弊する。まとめよう。
参考
ついに来た!Dependabotのgroup version update機能の紹介 - Zenn
依存関係の更新をカスタマイズする - GitHub Docs
作成した設定ファイル
code:.github/dependabot.yml
version: 2
# 毎週月曜9時に本番用と開発用でそれぞれPRを作成する設定
updates:
# yarn や pnpm にも対応している。pip にすれば、poetry も。
# ref: https://docs.github.com/en/code-security/dependabot/dependabot-version-updates/configuration-options-for-the-dependabot.yml-file#package-ecosystem
- package-ecosystem: npm
directory: /
schedule:
interval: weekly
time: 09:00
timezone: Asia/Tokyo
groups:
dependencies:
dependency-type: production
dev-dependencies:
dependency-type: development
あとがき
これが無料で使えるのが非常にありがたい。Dependabot Alerts も本当にありがとう。
Dependabot が PR を開いたときに Actions でビルドやテストを走らせると、非常に体験がいいのでおすすめ。
Dependabot の PR を GitHub Actions で yarn-deduplicate する もどうぞ。
#技術系_TIPS #2024-02