GitHub、「Dependabot」をアップデート–アップデートする依存関係のグループ化が可能に

今回は「GitHub、「Dependabot」をアップデート–アップデートする依存関係のグループ化が可能に」についてご紹介します。

関連ワード (ソフトウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 GitHubは米国時間8月24日、「Dependabot」のアップデート版が一般提供されたことを発表した。

 Dependabotは、セキュリティアップデートプログラムを使用してプルリクエストを発行することにより、脆弱性のある依存関係を修正できるようにする機能。これまで、各アップデートに対して個別のリクエストを開いていたため、開発者のワークフローにオーバーヘッドを加え、関連する依存関係が同期から外れてしまう可能性を高めていたという。

 今回の一般提供により、一つのプルリクエストでアップデートする依存関係をグループ化して指定できるようなった。バージョンアップデートのグループ化は、シンプルな依存関係管理、破壊的変更によるリスクの低減、サードパーティー製ツールや手作業による回避策を段階的に廃止する機会といった利点を開発プロセスにもたらすとGitHubは説明する。

 Dependabotがプルリクエストをどのように構成するかを制御するため、dependabot.ymlファイルでgroupsを使って一緒にアップデートされる依存関係のグループを定義することができる。例えば、一度にアップデートする多くの依存関係のグループや破壊的変更のリスクを最小限にするグループを設定できる。

 グループを最初に設定する場合、プルリクエストのタイトルやブランチ名に表示されるグループ名を指定する。そして、グループに対して特定の依存関係を含めたり除外したりするためのオプションを定義する。

 これらのオプションには、グループに含める依存関係のタイプを指定するdependency-type、依存関係名と一致する文字列を定義し、それらの依存関係をグループに含めるpatterns、依存関係名と一致する文字列を定義し、それらをグループから除外するexclude-patternsなどが含まれるという。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
WebAssemblyでBashのコマンドプロンプトを実装、Wasmer 4.0が正式リリース、POSIX対応の「WASIX」など安定版に
WebAssembly
2023-06-27 21:39
パーセフォニ、温室効果ガス排出などの情報開示を支援する日本向け新機能
IT関連
2022-11-11 06:13
The Linux Foundation、ポスト量子暗号を推進するアライアンスを結成
IT関連
2024-02-10 16:49
前川製作所、グループの間接費業務を「SAP Concur」で改革
IT関連
2023-06-03 02:23
「Android 13」で使用されていないアプリを見つけて削除するには
IT関連
2022-10-11 07:11
コンカー、「承認レス」を実現するAI不正検知サービス「Verify」を来春展開
IT関連
2024-09-19 10:39
Twitter、新デザインは「目が痛い、頭痛がする」という苦情を受け修正 「今後もフィードバックを」
アプリ・Web
2021-08-16 22:38
社会インパクト可視化システム・社会インパクト投資プラットフォームのインパクトサークルが8000万円のシード調達
IT関連
2022-03-17 03:33
ロボットがエレベーターを操作する共通規格、経産省が策定 自力で移動しやすく
企業・業界動向
2021-06-05 15:08
米国がサウジの石油施設と米国の原子力発電所をハックしたロシアのスパイ4人を起訴
IT関連
2022-03-27 14:01
「Chrome」、7件の脆弱性を修正–うち4件は「重要」
IT関連
2022-06-16 12:52
東北大と富士通が戦略提携–デジタルツイン活用で地域住民の健康増進
IT関連
2022-09-29 18:11
50匹分の食用コオロギパウダー入りフィナンシェ、Pascoが発売 「配合の限界に挑戦」
くらテク
2021-05-13 23:31
WebAssemblyでマルチスレッドによる並列処理を可能にする「wasi-threads」仕様の提案、ByteCode Allianceが明らかに
WebAssembly
2023-02-27 04:03