Dependabot version updates のアクションについて
多くの場合、アクションはバグ修正と新機能で更新され、自動プロセスの信頼性、速度、安全性が向上しています。 GitHub Actions に対して Dependabot version updates を有効にすると、Dependabot は、リポジトリの workflow.yml ファイル内のアクションへのリファレンスが最新の状態に保たれるようにします。 Dependabot は、ファイル内のアクションごとに、アクションのリファレンス(通常、アクションに関連付けられているバージョン番号またはコミット ID)を最新バージョンと照合します。 より新しいバージョンのアクションが使用可能な場合、Dependabot は、ワークフローファイル内のリファレンスを最新バージョンに更新するプルリクエストを送信します。 Dependabot version updates の詳細については、「Dependabot version updates について」を参照してください。 For more information about configuring workflows for GitHub Actions, see "Learn GitHub Actions."
ノート: DependabotのPull Requestによってトリガーされたワークフローの実行は、フォークされたリポジトリからのように実行されるので、読み取りのみのGITHUB_TOKENを使用します。 それらのワークフローの実行は、シークレットにはアクセスできません。 これらのワークフローをセキュアに保つための方針については、「GitHub Actionsとワークフローをセキュアに保つ: pwnリクエストの回避」を参照してください。
Dependabot version updates のアクションを有効化する
- dependabot.yml 設定ファイルを作成します。 他のエコシステムまたはパッケージマネージャーですでに Dependabot version updates を有効化している場合は、既存の dependabot.yml ファイルを開くだけです。
- 監視する
package-ecosystemとして"github-actions"を指定します。 directoryを"/"に設定し、.github/workflowsでワークフローファイルを確認します。schedule.intervalを設定して、新しいバージョンをチェックする頻度を指定します。- リポジトリ内の .github ディレクトリにある
dependabot.yml設定ファイルを確認します。 既存のファイルを編集した場合は、変更を保存します。
フォークで Dependabot version updates を有効化することもできます。 詳しい情報については、「バージョン更新の有効化と無効化」を参照してください。
GitHub Actions の dependabot.yml ファイルの例
次の dependabot.yml ファイルの例は、GitHub Actions のバージョン更新を設定しています。 .github/workflows でワークフローファイルを確認するには、directory を "/" に設定する必要があります。 schedule.interval は "daily" に設定します。 このファイルがチェックインまたは更新されると、Dependabot はアクションの新しいバージョンをチェックします。 Dependabot は、検出した古いアクションに対してバージョン更新のプルリクエストを生成します。 初期バージョンの更新後、Dependabot は1日1回、古いバージョンのアクションを引き続きチェックします。
# GitHub Actions の更新スケジュールを設定する
version: 2
updates:
- package-ecosystem: "github-actions"
directory: "/"
schedule:
# GitHub Actions の更新を毎週確認する
interval: "daily"
Dependabot version updates のアクションを設定する
アクションの Dependabot version updates を有効化する場合は、package-ecosystem、directory、および schedule.interval の値を指定する必要があります。 バージョン更新をさらにカスタマイズするための設定オプションのプロパティは他にもたくさんあります。 詳しい情報については、「依存関係の更新の設定オプション 」を参照してください。