メモ
この機能を使用するには、サイト管理者が お使いの GitHub Enterprise Server インスタンスの Dependabot updatesを設定する必要があります。 詳細については、「エンタープライズ向けの Dependabot の有効化」を参照してください。
Enterprise 所有者が Enterprise レベルでポリシーを設定している場合、Dependabot updates を有効または無効にできない場合があります。 詳しくは、「エンタープライズのコード セキュリティと分析のためのポリシーの適用」をご覧ください。
Dependabot のPull Requestを表示する
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [Pull requests] をクリックします。
![リポジトリのメイン ページのスクリーンショット。 水平ナビゲーション バーでは、[pull request] というラベルが付いたタブが濃いオレンジ色の枠線で囲まれています。](/assets/cb-51156/images/help/repository/repo-tabs-pull-requests-global-nav-update.png)
-
セキュリティまたはバージョン更新の pull requests は、簡単に特定できます。
- 作成者は dependabot です。これは、Dependabot によって使用されるボット アカウントです。
- 既定では、
dependenciesラベルが付けられています。
![リポジトリのメイン ページのスクリーンショット。 水平ナビゲーション バーでは、[pull request] というラベルが付いたタブが濃いオレンジ色の枠線で囲まれています。](/assets/cb-51156/mw-1440/images/help/repository/repo-tabs-pull-requests-global-nav-update.webp)
Dependabot Pull Requestのリベース戦略を変更する
デフォルトでは、Dependabot は自動的にPull Requestをリベースして競合を解決します。 pull request が 30 日間マージされていない場合、Dependabot は pull request のリベースを停止します。 pull request の手動でのリベースとマージは引き続きできます。 マージの競合を手動で処理する方がよい場合は、rebase-strategy オプションを使ってこれを無効にできます。 詳しくは、「Dependabot オプション リファレンス」を参照してください。
リベースと追加コミットに対するプッシュの適用を Dependabot に許可する
既定では、追加コミットがプッシュされると Dependabot によって pull request のリベースが停止されます。 そのブランチに追加されたコミットにプッシュを適用することを Dependabot に許可するには、文字列 [dependabot skip]、[skip dependabot]、[dependabot-skip]、または [skip-dependabot] を小文字または大文字でコミット メッセージに追加します。
Dependabot Pull Requestをコメントコマンドで管理する
Dependabot pull request でコメント コマンドを使用して、依存関係の更新を管理およびカスタマイズできます。 詳しくは、「Dependabotのプルリクエストコメントコマンド」を参照してください。
Dependabotはコマンドを認識すると"thumbs up"の絵文字で反応し、Pull Requestのコメントで応答することがあります。 Dependabotは通常すぐに反応しますが、コマンドによってはDependabotが他の更新やコマンドを処理するのに忙しい場合、完了に数分かかることがあります。
依存関係やバージョンを無視するコマンドを実行すると、Dependabot はリポジトリの設定を一元的に保存します。 これは簡単な解決策ですが、複数のコントリビューターがいるリポジトリの場合は、設定ファイルで無視する依存関係とバージョンを明示的に定義することをお勧めします。 これにより、特定の依存関係が自動的に更新されない理由をすべてのコントリビューターが簡単に確認できます。
詳しくは、「Dependabot オプション リファレンス」をご覧ください。