[GitHub] Dependabot Grouped version updates ではどのような metadata が取得できるのか確認してみた

[GitHub] Dependabot Grouped version updates ではどのような metadata が取得できるのか確認してみた

#GitHub Actions
#GitHub
#Dependabot
若槻龍太

若槻龍太

facebook logohatena logotwitter logo
Clock Icon2023.08.18

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、CX 事業本部 Delivery 部の若槻です。

下記の記事で紹介されている通り、GitHub Dependabot によりオープンされた Pull Request トリガーのワークフロー実行では、dependabot/fetch-metadata アクションにより更新の metadata が取得でき、その結果を元に所定のセマンティックバージョニングの更新の Pull Request を自動マージさせるといった運用が可能です。

今回は、Dependabot の Grouped version updates の場合にはどのような metadata が取得できるのか、気になったので確認してみました。

試してみた

次のような Dependabot コンフィグで試してみます。3 つの Version update group を定義しています。

version: 2
updates:
  - package-ecosystem: npm
    directory: /
    schedule:
      interval: daily
    groups:
      aws-sdk-group:
        patterns:
          - '@aws-sdk/*'
      types-group:
        patterns:
          - '@types/*'
      hoge-group:
        patterns:
          - luxon
          - typescript

ワークフローは次のようになります。dependabot/fetch-metadataにより取得した metadata を出力しています。

on: pull_request_target

jobs:
  dependabot:
    runs-on: ubuntu-latest
    permissions:
      pull-requests: read
    if: ${{ github.event.pull_request.user.login == 'dependabot[bot]' }}
    steps:
      - name: Dependabot metadata
        id: dependabot-metadata
        uses: dependabot/fetch-metadata@v1
      - name: Echo Dependabot metadata
        run: |
          echo "${{ toJSON(steps.dependabot-metadata.outputs) }}"

通常のバージョンアップデート

まずどのグループにも該当しない、通常のバージョンアップデートの場合です。

{
  "dev-dependencies": {
-    "constructs": "10.2.67"
+    "constructs": "10.2.69"
  }
}

出力結果は次のようになりました。

{
    "updated-dependencies-json": "[{\"dependencyName\":\"constructs\",\"dependencyType\":\"direct:production\",\"updateType\":\"version-update:semver-patch\",\"directory\":\"/\",\"packageEcosystem\":\"npm_and_yarn\",\"targetBranch\":\"main\",\"prevVersion\":\"10.2.67\",\"newVersion\":\"10.2.69\",\"compatScore\":0,\"maintainerChanges\":false,\"dependencyGroup\":\"\",\"alertState\":\"\",\"ghsaId\":\"\",\"cvss\":0}]",
    "dependency-names": "constructs",
    "dependency-type": "direct:production",
    "update-type": "version-update:semver-patch",
    "directory": "/",
    "package-ecosystem": "npm_and_yarn",
    "target-branch": "main",
    "previous-version": "10.2.[6](https://github.com/cm-rwakatsuki/cdk_sample_app/actions/runs/5881816116/job/15951061148?pr=79#step:3:6)[7](https://github.com/cm-rwakatsuki/cdk_sample_app/actions/runs/5881816116/job/15951061148?pr=79#step:3:7)",
    "new-version": "10.2.6[9](https://github.com/cm-rwakatsuki/cdk_sample_app/actions/runs/5881816116/job/15951061148?pr=79#step:3:9)",
    "compatibility-score": "0",
    "maintainer-changes": "false",
    "dependency-group": "",
    "alert-state": "",
    "ghsa-id": "",
    "cvss": "0"
  }

整理した内容は以下の通りです。これらの情報を Grouped version updates の場合と比較してみます。

名前 説明
updated-dependencies-json 省略 依存関係の情報
dependency-names constructs 依存関係の名前
dependency-type direct:production 依存関係のタイプ
update-type version-update:semver-patch 更新された semver タイプ
previous-version 10.2.67 更新後のバージョン
new-version 10.2.69 更新前のバージョン
dependency-group - グループ名

Grouped version updates(単一の依存関係が更新)

次に、types-group グループに該当する単一の依存関係の更新の場合です。

{
  "dev-dependencies": {
-    "@types/node": "20.4.7",
+    "@types/node": "20.5.0",
  }
}

出力結果は次のようになりました。

{
    "updated-dependencies-json": "[{\"dependencyName\":\"@types/node\",\"dependencyType\":\"direct:development\",\"updateType\":\"version-update:semver-minor\",\"directory\":\"/\",\"packageEcosystem\":\"npm_and_yarn\",\"targetBranch\":\"main\",\"prevVersion\":\"\",\"newVersion\":\"\",\"compatScore\":0,\"maintainerChanges\":false,\"dependencyGroup\":\"types-group\",\"alertState\":\"\",\"ghsaId\":\"\",\"cvss\":0}]",
    "dependency-names": "@types/node",
    "dependency-type": "direct:development",
    "update-type": "version-update:semver-minor",
    "directory": "/",
    "package-ecosystem": "npm_and_yarn",
    "target-branch": "main",
    "previous-version": "",
    "new-version": "",
    "compatibility-score": "0",
    "maintainer-changes": "false",
    "dependency-group": "types-group",
    "alert-state": "",
    "ghsa-id": "",
    "cvss": "0"
  }

整理した内容は以下の通りです。通常のバージョンアップデートの場合と差分としては、prevVersionnewVersion が値なしになっています。

名前 通常との差分
updated-dependencies-json 省略 prevVersion と newVersion が値なし
dependency-names @types/node -
dependency-type direct:development -
update-type version-update:semver-minor -
previous-version - 値なし
new-version - 値なし
dependency-group types-group グループ名あり

Grouped version updates(複数の依存関係が更新、update-type が同じ)

次に、aws-sdk-group グループに該当する複数の依存関係の更新の場合です。更新する semver は同じとなります。

{
  "dependencies": {
-    "@aws-sdk/client-lambda": "3.385.0",
-    "@aws-sdk/client-cognito-identity": "3.385.0",
+    "@aws-sdk/client-lambda": "3.391.0",
+    "@aws-sdk/client-cognito-identity": "3.391.0",
  }
}

出力結果は次のようになりました。

{
    "updated-dependencies-json": "[{\"dependencyName\":\"@aws-sdk/client-lambda\",\"dependencyType\":\"direct:production\",\"updateType\":\"version-update:semver-minor\",\"directory\":\"/\",\"packageEcosystem\":\"npm_and_yarn\",\"targetBranch\":\"main\",\"prevVersion\":\"\",\"newVersion\":\"\",\"compatScore\":0,\"maintainerChanges\":false,\"dependencyGroup\":\"aws-sdk-group\",\"alertState\":\"\",\"ghsaId\":\"\",\"cvss\":0},{\"dependencyName\":\"@aws-sdk/client-cognito-identity\",\"dependencyType\":\"direct:production\",\"updateType\":\"version-update:semver-minor\",\"directory\":\"/\",\"packageEcosystem\":\"npm_and_yarn\",\"targetBranch\":\"main\",\"prevVersion\":\"\",\"newVersion\":\"\",\"compatScore\":0,\"maintainerChanges\":false,\"dependencyGroup\":\"aws-sdk-group\",\"alertState\":\"\",\"ghsaId\":\"\",\"cvss\":0}]",
    "dependency-names": "@aws-sdk/client-lambda, @aws-sdk/client-cognito-identity",
    "dependency-type": "direct:production",
    "update-type": "version-update:semver-minor",
    "directory": "/",
    "package-ecosystem": "npm_and_yarn",
    "target-branch": "main",
    "previous-version": "",
    "new-version": "",
    "compatibility-score": "0",
    "maintainer-changes": "false",
    "dependency-group": "aws-sdk-group",
    "alert-state": "",
    "ghsa-id": "",
    "cvss": "0"
  }

整理した内容は以下の通りです。通常のバージョンアップデートの場合との差分としては、prevVersionnewVersion が値なしになっており、またdependency-names にはカンマ区切りで複数の依存関係が含まれています。update-type は 2 つの更新のものである semver-minor となっています。

名前 通常との差分
updated-dependencies-json 省略 prevVersion と newVersion が値なし。複数の依存関係の更新の情報が含まれている
dependency-names @aws-sdk/client-lambda, @aws-sdk/client-cognito-identity カンマ区切りで複数の依存関係
dependency-type direct:production -
update-type version-update:semver-minor -
previous-version - 値なし
new-version - 値なし
dependency-group aws-sdk-group グループ名あり

Grouped version updates(複数の依存関係が更新、update-type が異なる)

次に、hoge-group グループに該当する複数の依存関係の更新の場合です。ただし、更新する semver は異なっています。

{
  "dev-dependencies": {
-    "typescript": "5.1.5"
+    "typescript": "5.1.6"
  }
  "dependencies": {
-    "luxon": "2.5.2"
+    "luxon": "3.4.0"
  }
}

出力結果は次のようになりました。

{
    "updated-dependencies-json": "[{\"dependencyName\":\"luxon\",\"dependencyType\":\"direct:production\",\"updateType\":\"version-update:semver-major\",\"directory\":\"/\",\"packageEcosystem\":\"npm_and_yarn\",\"targetBranch\":\"main\",\"prevVersion\":\"\",\"newVersion\":\"\",\"compatScore\":0,\"maintainerChanges\":false,\"dependencyGroup\":\"hoge-group\",\"alertState\":\"\",\"ghsaId\":\"\",\"cvss\":0},{\"dependencyName\":\"typescript\",\"dependencyType\":\"direct:development\",\"updateType\":\"version-update:semver-patch\",\"directory\":\"/\",\"packageEcosystem\":\"npm_and_yarn\",\"targetBranch\":\"main\",\"prevVersion\":\"\",\"newVersion\":\"\",\"compatScore\":0,\"maintainerChanges\":false,\"dependencyGroup\":\"hoge-group\",\"alertState\":\"\",\"ghsaId\":\"\",\"cvss\":0}]",
    "dependency-names": "luxon, typescript",
    "dependency-type": "direct:production",
    "update-type": "version-update:semver-major",
    "directory": "/",
    "package-ecosystem": "npm_and_yarn",
    "target-branch": "main",
    "previous-version": "",
    "new-version": "",
    "compatibility-score": "0",
    "maintainer-changes": "false",
    "dependency-group": "hoge-group",
    "alert-state": "",
    "ghsa-id": "",
    "cvss": "0"
  }

整理した内容は以下の通りです。通常のバージョンアップデートの場合との差分としては、prevVersionnewVersion が値なしになっており、またdependency-names にはカンマ区切りで複数の依存関係が含まれています。update-type は 2 つの更新のうち大きい方の semver の値が指定されています。

名前 通常との差分
updated-dependencies-json 省略 prevVersion と newVersion が値なし。複数の依存関係の更新の情報が含まれている
dependency-names luxon, typescript カンマ区切りで複数の依存関係
dependency-type direct:production -
update-type version-update:semver-major 大きい方の semver の値が指定されている
previous-version - 値なし
new-version - 値なし
dependency-group hoge-group グループ名あり

結論

  • Grouped version updates で、update-type が異なる複数の依存関係の更新の場合は、metadata から取得されるのは大きい方の semver の update-type となる
  • これにより「メジャーバージョンアップデートされる依存関係が 1 つ以上含まれる場合は、自動マージをさせたくない」という場合に、update-type で判定することができる

おわりに

Dependabot Grouped version updates ではどのような metadata が取得できるのか確認してみました。

update-type含め Grouped version updates の場合は、通常の場合に比べて細かい差分があるようなので、metadata を利用する場合は意識しておくと良さそうです。

以上

Share this article

facebook logohatena logotwitter logo

関連記事

GitHub Actions の変数を管理する仕組みには「環境変数」と「構成変数」の2つがある

GitHub Actions の変数を管理する仕組みには「環境変数」と「構成変数」の2つがある

User avatar
若槻龍太
2024.11.15
GitHub Actionsを使ってGitHubリポジトリをBacklogのGitリポジトリに同期してみた

GitHub Actionsを使ってGitHubリポジトリをBacklogのGitリポジトリに同期してみた

User avatar
岩田智哉
2024.11.11
YAMLで記述するGo製のビルドツールTaskをGitHub Actionsと連携してみた

YAMLで記述するGo製のビルドツールTaskをGitHub Actionsと連携してみた

User avatar
quiver
2024.10.21
GitHubテンプレートリポジトリでSQLFluffルールを一元管理する

GitHubテンプレートリポジトリでSQLFluffルールを一元管理する

User avatar
エノカワ
2024.10.19
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.