GitHub Dependabot でメジャーバージョンを更新する Pull Request 自動作成を抑制してみた
こんにちは、CX事業本部 Delivery部の若槻です。
GitHub Dependabot 使うと、リポジトリにある依存関係をアップデートする Pull Request を自動作成してくれるので、依存関係のメンテナンスを効率化することができます。
しかし、セマンティックバージョニング(semver)のうち後方互換性が失われ破壊的変更が起こりうるメジャーバージョンアップデートは、Pull Request の自動作成の対象から外す運用としたい場合もあると思います。
そこで今回は、Dependabot でメジャーバージョンの Pull Request 作成を抑制するオプションを試してみました。
仕様確認
dependabot.yml
ファイルではignore
オプションを指定することにより、更新する依存関係を無視することによりカスタマイズすることができます。その際に次の3つのオプションを指定してさらに細かく制御することが可能です。
オプション | 説明 |
---|---|
dependency-name |
無視する依存関係名を指定。ワイルドカード* を使用可能。 |
versions |
無視するする特定のバージョンまたはバージョン範囲を^1.0.0 のように指定。 |
update-types |
無視する semver の種類をversion-update:semver-major 、version-update:semver-minor またはversion-update:semver-patch で指定。 |
このうちupdate-types
を使えば、メジャーバージョンを更新する Pull Request の自動作成のみを抑制することができそうです。
試してみた
dependabot.yml ファイル
ignore.update-types
でversion-update:semver-major
を指定します。
version: 2 updates: - package-ecosystem: 'npm' directory: '/' schedule: interval: 'daily' ignore: - dependency-name: '*' update-types: - version-update:semver-major
動作確認
最新でないメジャーバージョンのパッケージを依存関係に追加します。Prettier は2.8.7
の上位のバージョンに2.8.8
、3.0.0
および3.0.1
を持っています。
{ "devDependencies": { "prettier": "2.8.7" } }
コミットを push して少し待つと、Dependabot により Pull Request が自動作成されました。3.X
へのメジャーバージョンアップデートは無視され、2.8.8
へのパッチバージョンアップデートのみが行われています。
マイナーおよびパッチを無視した場合、メジャーバージョンはアップデートされるのか?
update-types
でversion-update:semver-minor
およびversion-update:semver-patch
を指定した場合、メジャーバージョンアップデートのみを無視する設定となるのか気になったので確認してみます。
ignore.update-types
を次のように指定します。
version: 2 updates: - package-ecosystem: 'npm' directory: '/' schedule: interval: 'daily' ignore: - dependency-name: '*' update-types: - version-update:semver-minor - version-update:semver-patch
最新でないメジャーバージョンのパッケージを依存関係に追加します。@classmethod/athena-query
は0.3.3
の上位のバージョンに0.3.4
、1.0.0
、1.0.1
および1.1.0
を持っています。
{ "dependencies": { "@classmethod/athena-query": "0.3.3", } }
少し待つと最新のメジャーバージョンである1.1.0
へアップデートを行う Pull Request が作成されました。
メジャーバージョンアップデートを抑制したい場合は、update-types
でversion-update:semver-major
を明示的に指定する必要があるようです。
Pull Request の自動作成はするが、自動マージはしたくない場合
メジャーバージョンアップデートであっても Pull Request を作成したい場合もあると思います。
下記では、GitHub Actions と組み合わせて、Pull Request の作成はすべてのバージョンタイプで行い、マージはメジャーバージョンアップデートのみ抑制する方法を紹介しています。
ポリシーに合わせて適した方を選択してください。
おわりに
GitHub Dependabot でメジャーバージョンを更新する Pull Request 自動作成を抑制してみました。
依存関係ごとのアップデートのされ方を細かく制御できるのは便利ですね。是非試してみてください。
以上