Dependabot のプルリクエストについて
Dependabot は、依存関係を更新するPull Requestを生成します。 リポジトリの設定によっては、Dependabot がバージョン更新やセキュリティアップデートのPull Requestを発行する場合があります。 これらのPull Requestは、他のPull Requestと同じ方法で管理しますが、追加のコマンドもいくつか用意されています。 Dependabot 依存関係の更新を有効にする方法については、「Dependabotセキュリティアップデート を構成する」および「バージョン更新の有効化と無効化」を参照してください。
Dependabot がプルリクエストを発行すると、リポジトリに対して選択した方法で通知されます。 各プルリクエストには、パッケージマネージャーから取得した、提案された変更に関する詳細情報が含まれています。 これらのプルリクエストは、リポジトリで定義されている通常のチェックとテストに従います。 また、十分な情報がある場合は、互換性スコアが表示されます。 これは、変更をマージするかどうかを決める際にも役立ちます。 このスコアについての詳しい情報は、「Dependabotセキュリティアップデート について」を参照してください。
管理する依存関係が多数ある場合は、各パッケージマネージャーの設定をカスタマイズして、プルリクエストに特定のレビュー担当者、アサインされた人、ラベルを付けることができます。 詳しい情報については、「依存関係の更新をカスタマイズする」をご覧ください。
Dependabot のプルリクエストを表示する
- GitHubで、リポジトリのメインページにアクセスしてください。
- リポジトリ名の下で、クリックします
Pull requests
- セキュリティおよびバージョン更新のプルリクエストは、簡単に特定できます。
- 作者は dependabot で、Dependabot で使用されるボットアカウントです。
- デフォルトでは、
dependenciesラベルが付いています。
Dependabot プルリクエストのリベース戦略を変更する
デフォルトでは、Dependabot は自動的にプルリクエストをリベースして競合を解決します。 マージの競合を手動で処理する場合は、rebase-strategy オプションを使用してこれを無効にできます。 詳細については、「依存関係の更新の設定オプション 」を参照してください。
Dependabot プルリクエストをコメントコマンドで管理する
Dependabot はコメント内の単純なコマンドに応答します。 Each pull request contains details of the commands you can use to process the pull request (for example: to merge, squash, reopen, close, or rebase the pull request) under the "Dependabot commands and options" section. これらの自動生成されたプルリクエストをできるだけ簡単にトリアージできるようにすることが目的です。
You can use any of the following commands on a Dependabot pull request.
@dependabot cancel mergecancels a previously requested merge.@dependabot closecloses the pull request and prevents Dependabot from recreating that pull request. You can achieve the same result by closing the pull request manually.@dependabot ignore this dependencycloses the pull request and prevents Dependabot from creating any more pull requests for this dependency (unless you reopen the pull request or upgrade to the suggested version of the dependency yourself).@dependabot ignore this major versioncloses the pull request and prevents Dependabot from creating any more pull requests for this major version (unless you reopen the pull request or upgrade to this major version yourself).@dependabot ignore this minor versioncloses the pull request and prevents Dependabot from creating any more pull requests for this minor version (unless you reopen the pull request or upgrade to this minor version yourself).@dependabot mergemerges the pull request once your CI tests have passed.@dependabot rebaserebases the pull request.@dependabot recreaterecreates the pull request, overwriting any edits that have been made to the pull request.@dependabot reopenreopens the pull request if the pull request is closed.@dependabot squash and mergesquashes and merges the pull request once your CI tests have passed.
Dependabot will react with a "thumbs up" emoji to acknowledge the command, and may respond with a comment on the pull request. While Dependabot usually responds quickly, some commands may take several minutes to complete if Dependabot is busy processing other updates or commands.
依存関係やバージョンを無視するコマンドを実行すると、Dependabot はリポジトリの設定を一元的に保存します。 これは簡単な解決策ですが、複数のコントリビューターがいるリポジトリの場合は、設定ファイルで無視する依存関係とバージョンを明示的に定義することをお勧めします。 これにより、特定の依存関係が自動的に更新されない理由をすべてのコントリビューターが簡単に確認できます。 詳しい情報については、「依存関係の更新の設定オプション 」を参照してください。