依存パッケージを自動アップデートすることで、プロジェクトに影響を及ぼす可能性があるケースがあります。 一時期話題になった faker.js や color.js の開発者が意図的に改ざんした事件 は記憶に新しいですね。 「自動で処理する」ということのメリットとデメリットを把握して利用しましょう。 環境 Renovate v34.156.0 GitHub Actions Runner v2.302.1 Ubuntu 22.04.2 LTS (ubuntu-latest) Renovate とは renovatebot/renovate - GitHub package.json や pom.xml、composer.json といった依存パッケージを定義しているファイルを読み取り それらのパッケージに新しいバージョンがないかどうかを確認し 新しいバージョンがあれば依存パッケージ定義ファイルを
Automated Dependency Updates Mend Renovate keeps source code dependencies up-to-date using automated Pull Requests. It will scan repositories for package manager files (e.g. from npm/Yarn, Bundler, Composer, Go Modules, Pip/Pipenv/Poetry, Maven/Gradle, Dockerfile/k8s, and many more), and submit Pull Requests with updated versions whenever they are found. This app is free to install for both public
はじめに GitHub の dependabot が煩わしくなってきました。 私の場合は主に package.json での依存関係でアラートがでるのですが、 dependabot alerts がでる 内容をみる 手元で依存関係をアップデートなり npm autdit で確認して個別に npm install したりで対応 package.json や package-lock.json を push といったことをやってきました。 が、先述のとおりこの一連の作業が煩わしくなってきたところ、 Renovate を導入して自動化できるという話を耳にしたので試してみようと思います。 とは言うものの、右も左もわからない状態ではなにが正しいかも分からない、ということろでまずは公式を頼りに進めます。 導入 GitHub リポジトリに Renovate を導入します。 手順はこちらのドキュメントを参
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く