依存パッケージを自動アップデートすることで、プロジェクトに影響を及ぼす可能性があるケースがあります。 一時期話題になった faker.js や color.js の開発者が意図的に改ざんした事件 は記憶に新しいですね。 「自動で処理する」ということのメリットとデメリットを把握して利用しましょう。 環境 Renovate v34.156.0 GitHub Actions Runner v2.302.1 Ubuntu 22.04.2 LTS (ubuntu-latest) Renovate とは renovatebot/renovate - GitHub package.json や pom.xml、composer.json といった依存パッケージを定義しているファイルを読み取り それらのパッケージに新しいバージョンがないかどうかを確認し 新しいバージョンがあれば依存パッケージ定義ファイルを
![Renovate を使ってほぼ完全自動で依存パッケージをアップデートする](https://cdn-ak-scissors.b.st-hatena.com/image/square/2f641932da7fcfc73acc6b27ff232ff618dd5f25/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--IqOmD_X0--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3ARenovate%252520%2525E3%252582%252592%2525E4%2525BD%2525BF%2525E3%252581%2525A3%2525E3%252581%2525A6%2525E3%252581%2525BB%2525E3%252581%2525BC%2525E5%2525AE%25258C%2525E5%252585%2525A8%2525E8%252587%2525AA%2525E5%25258B%252595%2525E3%252581%2525A7%2525E4%2525BE%25259D%2525E5%2525AD%252598%2525E3%252583%252591%2525E3%252583%252583%2525E3%252582%2525B1%2525E3%252583%2525BC%2525E3%252582%2525B8%2525E3%252582%252592%2525E3%252582%2525A2%2525E3%252583%252583%2525E3%252583%252597%2525E3%252583%252587%2525E3%252583%2525BC%2525E3%252583%252588%2525E3%252581%252599%2525E3%252582%25258B%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3ATomachi%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9saDMuZ29vZ2xldXNlcmNvbnRlbnQuY29tL2EtL0FPaDE0R2pTXzY0M1R1ZVpZMFFtQjMxOFRBZkNNLTZSYl9pT0JCZmlhbi1Hb3JnPXM5Ni1j%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)