GitHub、「Dependabot」をアップデート–アップデートする依存関係のグループ化が可能に

今回は「GitHub、「Dependabot」をアップデート–アップデートする依存関係のグループ化が可能に」についてご紹介します。

関連ワード (ソフトウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 GitHubは米国時間8月24日、「Dependabot」のアップデート版が一般提供されたことを発表した。

 Dependabotは、セキュリティアップデートプログラムを使用してプルリクエストを発行することにより、脆弱性のある依存関係を修正できるようにする機能。これまで、各アップデートに対して個別のリクエストを開いていたため、開発者のワークフローにオーバーヘッドを加え、関連する依存関係が同期から外れてしまう可能性を高めていたという。

 今回の一般提供により、一つのプルリクエストでアップデートする依存関係をグループ化して指定できるようなった。バージョンアップデートのグループ化は、シンプルな依存関係管理、破壊的変更によるリスクの低減、サードパーティー製ツールや手作業による回避策を段階的に廃止する機会といった利点を開発プロセスにもたらすとGitHubは説明する。

 Dependabotがプルリクエストをどのように構成するかを制御するため、dependabot.ymlファイルでgroupsを使って一緒にアップデートされる依存関係のグループを定義することができる。例えば、一度にアップデートする多くの依存関係のグループや破壊的変更のリスクを最小限にするグループを設定できる。

 グループを最初に設定する場合、プルリクエストのタイトルやブランチ名に表示されるグループ名を指定する。そして、グループに対して特定の依存関係を含めたり除外したりするためのオプションを定義する。

 これらのオプションには、グループに含める依存関係のタイプを指定するdependency-type、依存関係名と一致する文字列を定義し、それらの依存関係をグループに含めるpatterns、依存関係名と一致する文字列を定義し、それらをグループから除外するexclude-patternsなどが含まれるという。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
HashiCorp、「HCP Vault on Microsoft Azure」を一般提供
IT関連
2023-03-02 10:07
シトリックスが機関投資家により買収されると正式発表、165億ドルで。買収後はTIBCOと統合へ
Citrix
2022-02-02 16:30
パイオニアが「モノ×コト」で切り開く「未来の移動体験」
IT関連
2023-12-15 17:23
すかいらーくHD、リモートワーク推進のためSAP Concurソリューション採用
IT関連
2023-02-03 15:05
「Chrome」、セキュリティ更新を毎週リリースへ
IT関連
2023-08-15 23:17
早稲田大学、電子申請・契約ソリューションを導入
IT関連
2021-07-28 14:19
NVIDIA社員のパスワード数千件がネットに流出、ハッカー集団から奇妙な要求
IT関連
2022-03-07 07:56
リモートでの動画制作をシンプルにするOpenReelが20.7億円調達
その他
2021-03-21 11:19
NFTマーケットプレイスのOpenSeaが「ガス代」排除に向け、複数のブロックチェーンに対応を計画
ブロックチェーン
2021-07-23 09:29
Pythonの高速なスーパーセットをうたう新言語「Mojo」、コンパイラなど公開、ローカル環境で利用可能に
Python
2023-09-11 00:40
Visaタッチ決済対応スマートリング「EVERING」の第2弾先行予約が7月1日12時開始
ハードウェア
2021-06-30 09:49
LastPassに再びハッキング被害–機密情報にアクセスできるマスターパスワードが窃取
IT関連
2023-03-03 13:27
ロボット安全ソフトやサイバーセキュリティ対策に力を入れるFortが14.2億円を調達
ロボティクス
2021-03-20 11:19
NFTマーケットプレイス「nanakusa」が第2期公認クリプトアーティストの審査受付開始
ブロックチェーン
2021-05-30 18:21