521 文字
3 分

GitHub Dependabot Alertを有効化したらRenovateが対象のPRを投げてくれる

2025-03-11
Tech
github
/
dependabot
/
renovate

概要#

GitHub が提供する Dependabot Alert を有効化すると、Renovate がその情報を元に PR を投げてくれる。

実際に作られた PR を見ると、GitHub Vulnerability Alert を参照していることが分かる。

alt text

Renovate 側の設定は不要。

Dependabot Alert について#

リポジトリの依存関係を分析し脆弱性が見つかると通知してくれる Dependabot Alert という機能が GitHub から提供されている。

各リポジトリの「Setteings」→「Secutiry」から有効化できる。

「Dependabot alerts」を有効化しただけだと、修正 PR はボタンを押して手動で生成する必要があるが、下にある「Dependabot secutity updates」を有効化すると Dependabot に修正 PR を自動的に作らせることも出来る。

alt text

Dependabot と Renovate#

Dependabot と Renovate はどちらも依存関係の管理を行えるツール。

ただし、Dependabot は脆弱性データべースを持っているため、Dependabot 単体でセキュリティ対応 PR を投げることが出来る。

これだけ聞くと、GitHub にも内蔵されている Dependabot の方が良いように思えるが、次のような理由で Renovate の採用されることが度々あるように思う。

  • Renovate の方が設定を柔軟に出来る。
  • Dependabot には長く依存関係のグルーピング機能がなかった。
  • GitHub の環境変数が Dependabot とその他で分離されている。

Dependabot Alert と Renovate の連携#

Renovate ではデフォルトで Dependabot Alerts 連携が有効になっており、Dependabot Alerts を有効化するだけで「Dependabot secutity updates」機能と同様に PR を Renovate が自動的に生成してくれるようになる。

https://docs.renovatebot.com/configuration-options/#vulnerabilityalerts

挙動も「Dependabot secutity updates」と同様であり、scheduleを無視して末尾に[security]と付いた PR が生成される。

Dependabot 用に別途設定を書かなくとも Renovate のreviewersなどの設定が効くため、Renovate ユーザーは「Dependabot secutity updates」を有効化しないようにした方が良いように思う。

GitHub Dependabot Alertを有効化したらRenovateが対象のPRを投げてくれる
https://blog.ohirunewani.com/posts/github-dependabot-alert-integrate-renovate/
作者
hrdtbs
公開日
2025-03-11
ライセンス
CC BY-NC-SA 4.0
Go 1.24でgolangci-lintがエラーを吐くようになった
Q. Go言語である型を満たす型パラメータとその型自体が違う型と言われる
© 2025 hrdtbs. All Rights Reserved. / RSS / Sitemap
Powered by Astro & Fuwari