Dependabot セキュリティ更新プログラム用に pull request をカスタマイズする

セキュリティ更新プログラム用に pull request をカスタマイズする

プロジェクトのセキュリティの優先順位とプロセスにとって最適になるように、Dependabot からセキュリティ更新プログラムの pull request を生成する方法をカスタマイズできます。次に例を示します。

Dependabot の pull request を最適化し、重要な更新プログラムを優先するには、複数の更新プログラムを 1 つの pull request にグループ化します。
カスタムラベルを適用して、Dependabot の pull request を既存のワークフローに統合します。

バージョン更新プログラムと同様に、セキュリティ更新プログラム用のカスタマイズオプションは dependabot.yml ファイルで定義します。 dependabot.yml をバージョン更新プログラム用に既にカスタマイズしている場合、定義済み構成オプションの多くがセキュリティ更新プログラムにも自動的に適用されます。ただし、注意すべき重要な点がいくつかあります。

Dependabot security updates は、バージョン更新プログラム用の dependabot.yml で設定した schedule に従って実行されるのではなく、常にセキュリティアドバイザリによってトリガーされます。
Dependabot により、既定のブランチのみに対してセキュリティ更新プログラム用の pull request が生成されます。構成で target-branch の値を設定している場合、そのパッケージエコシステムのカスタマイズは、既定でバージョン更新プログラムにのみ適用されます。

リポジトリの dependabot.yml ファイルをまだ構成しておらず、セキュリティ更新プログラム用の pull request をカスタマイズする場合は、まず次のことを行う必要があります。

dependabot.yml ファイルをリポジトリの .github ディレクトリにチェックインします。詳しくは、「Dependabot のバージョンアップデートの設定」をご覧ください。
必要なキーをすべて設定します。詳細については、「必須のキー」を参照してください。
パッケージエコシステムのカスタマイズをセキュリティ更新プログラムにのみ適用する (バージョン更新プログラムを除外する) 場合は、open-pull-requests-limit キーを 0 に設定します。

その後、セキュリティ更新プログラムのニーズと優先順位を検討し、以下で説明するカスタマイズオプションの組み合わせを適用できます。

npm 依存関係の更新にはプライベートレジストリを使います。
依存関係のバージョン更新プログラムを無効にして、カスタマイズがセキュリティ更新プログラムにのみ適用されるようにします。
Dependabot がカスタムラベルを pull request に適用し、担当者を自動的に追加するようにカスタマイズされています。
Golang 依存関係のセキュリティ更新プログラムを、1 つの pull request にグループ化します。

YAML

# Example configuration file that:
#  - Uses a private registry for npm updates
#  - Ignores lodash dependency
#  - Disables version-updates
#  - Applies custom labels
#  - Adds assignees
#  - Group security updates for golang dependencies into a single pull request

version: 2
registries:
  # Define a private npm registry with the name `example`
  example:
    type: npm-registry
    url: https://example.com
    token: ${{secrets.NPM_TOKEN}}
updates:
  - package-ecosystem: "npm"
    directory: "/src/npm-project"
    schedule:
      interval: "daily"
    # For Lodash, ignore all updates
    ignore:
      - dependency-name: "lodash"
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0
    registries:
      # Ask Dependabot to use the private registry for npm
      - example
    # Raise all npm pull requests for security updates with custom labels
    labels:
      - "npm dependencies"
      - "triage-board"
    # Raise all npm pull requests for security updates with assignees
    assignees:
      - "user-name"
  - package-ecosystem: "gomod"
    groups:
      # Group security updates for golang dependencies
      # into a single pull request
      golang:
        applies-to: security-updates
        patterns:
          - "golang.org*"

# Example configuration file that:
#  - Uses a private registry for npm updates
#  - Ignores lodash dependency
#  - Disables version-updates
#  - Applies custom labels
#  - Adds assignees
#  - Group security updates for golang dependencies into a single pull request

version: 2
registries:
  # Define a private npm registry with the name `example`
  example:
    type: npm-registry
    url: https://example.com
    token: ${{secrets.NPM_TOKEN}}
updates:
  - package-ecosystem: "npm"
    directory: "/src/npm-project"
    schedule:
      interval: "daily"
    # For Lodash, ignore all updates
    ignore:
      - dependency-name: "lodash"
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0
    registries:
      # Ask Dependabot to use the private registry for npm
      - example
    # Raise all npm pull requests for security updates with custom labels
    labels:
      - "npm dependencies"
      - "triage-board"
    # Raise all npm pull requests for security updates with assignees
    assignees:
      - "user-name"
  - package-ecosystem: "gomod"
    groups:
      # Group security updates for golang dependencies
      # into a single pull request
      golang:
        applies-to: security-updates
        patterns:
          - "golang.org*"

例 2: バージョン更新プログラムとセキュリティ更新プログラムの構成

この例では、dependabot.yml ファイルは次のようになります。

Dependabot がバージョン更新プログラムとセキュリティ更新プログラムの両方にカスタムラベルを追加するようにカスタマイズされています。
複数の更新プログラムを 1 つの pull request にグループ化するために、groups カスタマイズオプションを使って 2 つのグループ ("angular" と "production-dependencies") を作成します。
angular の groups カスタマイズがセキュリティ更新プログラムのみに適用されるように指定します。
production-dependencies の groups カスタマイズをバージョン更新プログラムのみに適用することを指定します。

YAML

version: 2
updates:
  # Keep npm dependencies up to date
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
# Raise all npm pull requests for security and version updates with custom labels
    labels:
      - "npm dependencies"
      - "triage-board"
    groups:
      angular:
        # Group security updates for Angular dependencies into a single pull request
        applies-to: security-updates
        patterns:
          - "@angular*"
      production-dependencies:
        # Group version updates for dependencies of type "production" into a single pull request
        applies-to: version-updates
        dependency-type: "production"

version: 2
updates:
  # Keep npm dependencies up to date
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
# Raise all npm pull requests for security and version updates with custom labels
    labels:
      - "npm dependencies"
      - "triage-board"
    groups:
      angular:
        # Group security updates for Angular dependencies into a single pull request
        applies-to: security-updates
        patterns:
          - "@angular*"
      production-dependencies:
        # Group version updates for dependencies of type "production" into a single pull request
        applies-to: version-updates
        dependency-type: "production"

Dependabot セキュリティ更新プログラム用に pull request をカスタマイズする

この機能を使用できるユーザーについて

この記事の内容

セキュリティ更新プログラム用に pull request をカスタマイズする

重要な更新プログラムを優先する

担当者の自動追加

レビュー担当者の自動追加

カスタムラベルを使って pull request にラベルを付ける

コミットメッセージにプレフィックスを追加する

Pull request とマイルストーンを関連付ける

Pull request ブランチ名の区切り記号を変更する

例 1: セキュリティ更新プログラムのみの構成

例 2: バージョン更新プログラムとセキュリティ更新プログラムの構成

参考資料