よこなのへたのよこずき

noteもよろしくね

Dependabotってスコープとか頻度とか設定できるんだね

GtiHubがボランティア(?)で勝手に動かしてくれてるだけのアンコントローラブルなものだと思ってた…w

docs.github.com

dependabot.yml を追加しておくと設定変えられるんですね。弊プロジェクトにはこんな記述がありました(一部抜粋)。

- package-ecosystem: "cargo"
  directory: "/"
  open-pull-requests-limit: 1
  schedule:
    interval: "daily"

これでCargoのパッケージに対して1日1回スキャンしてくれると。 open-pull-requests-limit はそのリポジトリ内にdependabotが最大いくつのPRを作れるか(デフォルトは5)という意味らしいです。PR一覧のページがdependabotの指摘で埋まらないように出来るんですね。

まぁそうなる前に対応しよう!

パッケージ(アーティファクト)のセキュリティに着目しようねっていう話をデベロッパーアドボケイト時代に山程していた私より。