-
リポジトリのメンテナが Dependabot pull request の操作を停止すると、Dependabot はその更新を一時的に停止し、そのことが通知されます。
-
30 日後には Dependabot によってバージョンおよびセキュリティ更新プログラムの pull request のリベースは停止されるため、非アクティブな Dependabot pull request の通知が減ります。
Dependabot updates の自動非アクティブ化について
Dependabot により、Dependabot updates からの pull request とのやり取りに基づいて、リポジトリに対する更新プログラムは一時停止されます。 Dependabot によって Dependabot updates が自動的に非アクティブ化されると、次のようになります。
- バージョンおよびセキュリティ更新プログラムの pull request は作成されません。
- 非アクティブなリポジトリに対する Dependabot pull request のリベースは行われません。
メモ
Dependabot 更新の自動非アクティブ化は、Dependabot で pull request が開かれたが、pull request はそのまま残っているリポジトリにのみ適用されます。 Dependabot で pull request が開かれていない場合、Dependabot は一時停止されません。
アクティブなリポジトリとは、ユーザー (Dependabot ではありません) が過去 90 日間に次のアクションのいずれかを行ったリポジトリです。
- リポジトリに対する Dependabot pull request をマージまたは終了しました。
- リポジトリの
dependabot.ymlファイルに変更を加えました。 - セキュリティ更新プログラムまたはバージョン更新プログラムを手動でトリガーしました。
- リポジトリの Dependabot security updates を有効にしました。
- Pull request に対して
@dependabotコマンドを使いました。
非アクティブなリポジトリは次のリポジトリです。
- 少なくとも 1 つの Dependabot pull request が 90 日以上開かれており、
- その期間中は継続して有効であり、かつ
- ユーザーが上記のいずれのアクションも実行していない場合。
Dependabot updates が一時停止されているかどうかを確認する方法
Dependabot が一時停止されると、GitHub によって以下に対してバナー通知が追加されます。
- すべての開いた Dependabot の Pull Request。
- リポジトリの [Settings] タブの UI ([Code security and analysis] の下、次に [Dependabot])。
- Dependabot alerts の一覧 (Dependabot security updates が影響を受ける場合)。
さらに、セキュリティの概要で、Dependabot が organization レベルで一時停止されているかどうかを確認できます。 paused 状態は、API を介して表示することもできます。 詳細については、「リポジトリの REST API エンドポイント」を参照してください。
Dependabot updates の自動再アクティブ化
誰かが Dependabot pull request を再び操作すると、Dependabot は自動的に再開されます。
- Dependabot alerts のセキュリティ更新プログラムが自動的に再開されます。
- バージョンの更新は、
dependabot.ymlファイルで指定されたスケジュールで自動的に再開されます。