{"meta":{"title":"Dependabot バージョン更新プログラムに合わせて pull request の作成を最適化する","intro":"Dependabotプル要求を合理化して効率的に管理する方法について説明します。","product":"セキュリティとコードの品質","breadcrumbs":[{"href":"/ja/code-security","title":"セキュリティとコードの品質"},{"href":"/ja/code-security/tutorials","title":"Tutorials"},{"href":"/ja/code-security/tutorials/secure-your-dependencies","title":"依存関係をセキュリティ保護する"},{"href":"/ja/code-security/tutorials/secure-your-dependencies/optimizing-pr-creation-version-updates","title":"PR の作成を最適化する"}],"documentType":"article"},"body":"# Dependabot バージョン更新プログラムに合わせて pull request の作成を最適化する\n\nDependabotプル要求を合理化して効率的に管理する方法について説明します。\n\n既定では、 Dependabot は新しいプル要求を開き、各依存関係を更新します。 セキュリティ更新プログラムを有効にすると、脆弱な依存関係が見つかったときに新しい pull request が開かれます。 1 つ以上のエコシステムのバージョン更新プログラムを構成すると、依存関係の新しいバージョンがリリースされたときに、`dependabot.yml` ファイルに定義されている頻度で新しい pull request が開かれます。\n\nプロジェクトに多くの依存関係がある場合は、確認とマージを行う Dependabot プル要求が非常に多く、管理がすぐに困難になる可能性があります。\n\nプロセスに合わせて更新プル要求を最適化するために、実装できるカスタマイズオプションがいくつかあります。例えば次のようなものです。\n\n* **依存関係の新しいバージョンをDependabotでチェックする頻度を制御する**。\n* **意味のある更新を優先する** は `groups` を使ってください。\n\n## 依存関係の更新の頻度とタイミングを制御する\n\n```\n          Dependabot は、構成ファイルで設定した頻度でバージョン更新のチェックを実行します。ここで、必須フィールド `schedule.interval`は、 `daily`、 `weekly`、 `monthly`、 `quarterly`、 `semiannually`、 `yearly`、または `cron` に設定する必要があります ( [`cronjob`](/code-security/dependabot/working-with-dependabot/dependabot-options-reference#cronjob)を参照)。\n```\n\n既定では、 Dependabot は、依存関係の更新のプル要求をチェックして発生させるランダムな時間を割り当てることで、ワークロードのバランスを取ります。\n\nただし、気が散らないようにするため、またはバージョン更新プログラムを確認して対処するために時間とリソースをより適切に整理するには、頻度とタイミングを変更すると便利な場合があります。 たとえば、更新プログラムのチェックを毎日ではなく毎週Dependabot実行し、チームのトリアージセッションの前にプルリクエストが確実に発生するように時間を調整することもできます。\n\n### 依存関係の更新頻度とタイミングの変更\n\n```\n          `schedule`をオプションの組み合わせと共に使用して、Dependabotがバージョンの更新プログラムをチェックする頻度とタイミングを変更できます。\n```\n\n次の `dependabot.yml` ファイルの例では、npm の構成を変更して、 Dependabot が毎週火曜日の 02:00 日本語標準時 (UTC +09:00) に npm 依存関係のバージョン更新を確認する必要があることを指定します。\n\n```yaml copy\n# `dependabot.yml` file with\n# customized schedule for version updates\n\nversion: 2\nupdates:\n  # Keep npm dependencies up to date\n  - package-ecosystem: \"npm\"\n    directory: \"/\"\n    # Check the npm registry every week on Tuesday at 02:00 Japan Standard Time (UTC +09:00)\n    schedule:\n      interval: \"weekly\"\n      day: \"tuesday\"\n      time: \"02:00\"\n      timezone: \"Asia/Tokyo\"\n```\n\n「[schedule](/ja/code-security/dependabot/working-with-dependabot/dependabot-options-reference#schedule-)」も参照してください。\n\n### 依存関係の更新のためのクールダウン期間を設定する\n\n```\n          `cooldown`をオプションの組み合わせと共に使用して、**Dependabotがバージョン更新プログラム**のプル要求を作成するタイミングを制御できますが、**セキュリティ更新プログラム**は作成できません。\n```\n\n以下のサンプル `dependabot.yml` ファイルでは、`requests`、`numpy`、プレフィックスが `pandas` または `django` である依存関係にクールダウン期間が適用されていますが、`pandas` リストで除外されている \\*\\*\\*\\* (完全一致) という依存関係には適用されていません。\n\n```yaml copy\nversion: 2\nupdates:\n  - package-ecosystem: \"pip\"\n    directory: \"/\"\n    schedule:\n      interval: \"daily\"\n    cooldown:\n      default-days: 5\n      semver-major-days: 30\n      semver-minor-days: 7\n      semver-patch-days: 3\n      include:\n        - \"requests\"\n        - \"numpy\"\n        - \"pandas*\"\n        - \"django\"\n      exclude:\n        - \"pandas\"\n```\n\n* クールダウンの日数は 1 から 90 の間で指定する必要があります。\n* `include` で使用できる `exclude` リストと `cooldown` リストの項目数の上限は、それぞれ 150 個です。\n\n> \\[!NOTE]\n> クールダウン期間の**すべての依存関係**を考慮するには、次の方法があります。\n> \\*\n> `include` オプションを省略すると、すべての依存関係にクールダウンが適用されます。\n> \\*\n> `\"*\"` に `include` を使うと、クールダウン設定がすべてに適用されます。\n> クールダウン設定から`exclude`のみを除外するには、\\*\\*\\*\\* を使用することをお勧めします。\n\nSemVer はほとんどのパッケージ マネージャーでサポートされています。 クールダウン中の依存関係の新しいバージョンへの更新は、次のように延期されます。\n\n* メジャー更新: 30 日間延期されます (`semver-major-days: 30`)。\n* マイナー更新: 7 日間延期されます (`semver-minor-days: 7`)。\n* パッチ更新: 3 日間延期されます (`semver-patch-days: 3`)。\n\n参照 [`cooldown`](/ja/code-security/dependabot/working-with-dependabot/dependabot-options-reference#cooldown-).\n\n## 重要な更新プログラムを優先する\n\n### 関連する依存関係のグループ化\n\n```\n          `groups` を使うと、複数の依存関係の更新を 1 つの pull request に統合できます。 こうすることで、リスクの高い更新プログラムにレビュー時間を集中させ、マイナー バージョン更新プログラムのレビューに費やす時間を最小限に抑えることができます。 たとえば、開発の依存関係に対するマイナーまたはパッチ更新プログラムの更新プログラムを 1 つの pull request に結合し、コードベースの主要領域に影響を与えるセキュリティまたはバージョン更新プログラムを担当する専用グループを用意することができます。\n```\n\n個々のパッケージ エコシステムごとにグループを構成する必要があります。その後、次の条件の組み合わせを使って、パッケージ エコシステムごとに複数のグループを作成できます。\n\n* Dependabot 更新の種類: `applies-to`\n* 依存関係の種類: `dependency-type`。\n* 依存関係の名前: `patterns` と `exclude-patterns`\n* セマンティック バージョニング レベル: `update-types`\n\n各条件でサポートされているすべての値を確認するには、「[`groups`](/ja/code-security/dependabot/working-with-dependabot/dependabot-options-reference#groups--)」を参照してください。\n\n条件を使って依存関係のグループを作成する複数の方法の例を次に示します。\n\n### 例 1: 3 つのバージョン更新プログラム グループ\n\nこの例では、`dependabot.yml` ファイルは次のようになります。\n\n* \"`production-dependencies`\"、\"`development-dependencies`\"、\"`rubocop`\" という 3 つのグループを作成します。\n* `patterns` と `dependency-type` を使って、グループに依存関係を含めます。\n* `exclude-patterns` を使って、グループから 1 つの依存関係 (または複数の依存関係) を除外します。\n\n```yaml\nversion: 2\nupdates:\n  # Keep bundler dependencies up to date\n  - package-ecosystem: \"bundler\"\n    directory: \"/\"\n    schedule:\n      interval: \"weekly\"\n    groups:\n      production-dependencies:\n        dependency-type: \"production\"\n      development-dependencies:\n        dependency-type: \"development\"\n        exclude-patterns:\n          - \"rubocop*\"\n      rubocop:\n        patterns:\n          - \"rubocop*\"\n```\n\nその結果、次のような影響が出ています。\n\n* バージョン更新プログラムは依存関係の種類ごとにグループ化されます。\n* パターン `rubocop*` と一致する開発依存関係は、`development-dependencies` グループから除外されます。\n* 代わりに、`rubocop*` と一致する開発依存関係が `rubocop` グループに含まれます。 グループ化により、`rubocop*` と一致する開発依存関係が `production-dependencies` グループに含まれます。\n* さらに、`applies-to` キーが存在しないため、すべてのグループは既定でバージョン更新プログラムのみに適用されます。\n\n### 例 2: 依存関係が除外された、グループ化された更新プログラム\n\nこの例では、`dependabot.yml` ファイルは次のようになります。\n\n* カスタマイズされた Bundler 構成の一部として、\"`support-dependencies`\" というグループを作成します。\n* 1 つの依存関係 (または複数の依存関係) の名前と一致する `patterns` を使って、グループに依存関係を含めます。\n* 1 つの依存関係 (または複数の依存関係) の名前と一致する `exclude-patterns` を使って、グループから依存関係を除外します。\n* `applies-to: version-updates` が使われているため、グループ化をバージョン更新プログラムにのみ適用します。\n\n```yaml\nversion: 2\nupdates:\n  # Keep bundler dependencies up to date\n  - package-ecosystem: \"bundler\"\n    directories:\n      - \"/frontend\"\n      - \"/backend\"\n      - \"/admin\"\n\n    schedule:\n      interval: \"weekly\"\n    # Create a group of dependencies to be updated together in one pull request\n    groups:\n      # Specify a name for the group, which will be used in pull request titles\n      # and branch names\n      support-dependencies:\n        # Define patterns to include dependencies in the group (based on\n        # dependency name)\n        applies-to: version-updates # Applies the group rule to version updates\n        patterns:\n          - \"rubocop\" # A single dependency name\n          - \"rspec*\"  # A wildcard string that matches multiple dependency names\n          - \"*\"       # A wildcard that matches all dependencies in the package\n                      # ecosystem. Note: using \"*\" may open a large pull request\n        # Define patterns to exclude dependencies from the group (based on\n        # dependency name)\n        exclude-patterns:\n          - \"gc_ruboconfig\"\n          - \"gocardless-*\"\n```\n\nその結果、次のような影響が出ています。\n\n* Bundler の依存関係の大部分は、ワイルドカード (\"\\*\") パターンにより、`support-dependencies` グループに統合されます\n* `gc_ruboconfig` や `gocardless-*` と一致する依存関係はグループから除外され、Dependabot により、これらの依存関係に対して 1 つの pull request が引き続き生成されます。 これが役立つのは、これらの依存関係の更新プログラムを詳細に確認する必要がある場合です。\n* `support-dependencies`、バージョン更新プログラムに対してのみ、Dependabot によって pull request が生成されます。\n\n### 例 3: メジャー更新プログラムの個別の pull request と、マイナーまたはパッチ更新プログラムのグループ化\n\nこの例では、`dependabot.yml` ファイルは次のようになります。\n\n* \"`angular`\" というグループを作成します。\n* 依存関係の名前と一致する `patterns` を使って、グループに依存関係を含めます。\n* そのグループの `minor` または `patch` の更新プログラムのみを含めるには、`update-type` を使います。\n* `applies-to: version-updates` が使われているため、グループ化をバージョン更新プログラムにのみ適用します。\n\n```yaml\nversion: 2\nupdates:\n  - package-ecosystem: \"npm\"\n    directory: \"/\"\n    schedule:\n      interval: \"weekly\"\n    groups:\n      # Specify a name for the group, which will be used in pull request titles\n      # and branch names\n      angular:\n        applies-to: version-updates\n        patterns:\n          - \"@angular*\"\n        update-types:\n          - \"minor\"\n          - \"patch\"\n```\n\nその結果、次のような影響が出ています。\n\n* マイナーまたはパッチ更新プログラムがあるすべての Angular 依存関係に対して、Dependabot によってグループ化された pull request が作成されます。\n* すべてのメジャー更新プログラムは引き続き個別の pull request として生成されます。\n\n### 例 4: マイナーまたはパッチ更新プログラムのグループ化された pull request と、メジャー更新プログラムの pull request なし\n\nこの例では、`dependabot.yml` ファイルは次のようになります。\n\n* \"`angular`\" と \"`minor-and-patch`\" という 2 つのグループを作成します。\n* `applies-to` を使うと、最初のグループがバージョン更新プログラムのみに適用され、2 つ目のグループがセキュリティ更新プログラムのみに適用されます。\n* 両方のグループの `minor` または `patch` の更新プログラムのみを含めるには、`update-type` を使います。\n* `@angular*` パッケージの `major` バージョンへの更新プログラムを除外するには、`ignore` 条件を使います。\n\n```yaml\nversion: 2\nupdates:\n  # Keep npm dependencies up to date\n  - package-ecosystem: \"npm\"\n    directory: \"/\"\n    schedule:\n      interval: \"weekly\"\n    groups:\n      angular:\n        applies-to: version-updates\n        patterns:\n          - \"@angular*\"\n        update-types:\n          - \"minor\"\n          - \"patch\"\n      minor-and-patch:\n        applies-to: security-updates\n        patterns:\n          - \"@angular*\"\n        update-types:\n          - \"patch\"\n          - \"minor\"\n    ignore:\n      - dependency-name: \"@angular*\"\n        update-types: [\"version-update:semver-major\"]\n```\n\nその結果、次のような影響が出ています。\n\n* Angular 依存関係のマイナーおよびパッチ バージョン更新プログラムは、1 つの pull request にグループ化されます。\n* Angular 依存関係のマイナーおよびパッチのセキュリティ更新プログラムも、1 つの pull request にグループ化されます。\n* Angular のメジャー更新プログラムに対しては、Dependabot によって自動的に pull request は開かれません。\n\n### monorepo 内のディレクトリ間で更新をグループ化する\n\n共通の依存関係を共有する複数のディレクトリを持つ monorepo を管理する場合は、すべてのディレクトリの依存関係名で更新プログラムをグループ化することで、バージョン更新のプル要求の数を減らすことができます。\n\n```\n          Dependabot を複数のディレクトリを監視し、依存関係名でグループ化を有効にするように構成すると、Dependabot では次のことが行われます。\n```\n\n* 複数のディレクトリに影響を与える依存関係の更新ごとに 1 つのプル要求を作成する\n* 1 回の操作ですべてのディレクトリで同じ依存関係を同じバージョンに更新する\n* 確認する必要があるプル要求の数を減らす\n* ディレクトリごとではなく、テストを 1 回実行して CI/CD コストを最小限に抑える\n\n詳細については、「[`group-by`](/ja/code-security/reference/supply-chain-security/dependabot-options-reference#group-by-groups)」を参照してください。\n\nこの構成例では、 `/frontend`、 `/admin-panel`、および `/mobile-app` の各ディレクトリで、依存関係の名前によって更新プログラムをグループ化します。\n`lodash`をすべての3つのディレクトリで更新する必要がある場合、Dependabotは3つの場所すべてで`lodash`を更新するために「monorepo-dependencies グループの lodash をバージョンアップする」という名前の1つのプルリクエストを作成します。\n\n```yaml\nversion: 2\nupdates:\n  - package-ecosystem: \"npm\"\n    directories:\n      - \"/frontend\"\n      - \"/admin-panel\"\n      - \"/mobile-app\"\n    schedule:\n      interval: \"weekly\"\n    groups:\n      monorepo-dependencies:\n        group-by: dependency-name\n```"}