dependabotに関するエントリは67件あります。 githubsecurityGitHub などが関連タグです。 人気エントリには 『GitHub Appを使ってDependabotが作るpull requestを自動マージさせる - inSmartBank』などがあります。
  • GitHub Appを使ってDependabotが作るpull requestを自動マージさせる - inSmartBank

    こんにちは。皆さんは自身がメンテナンスするソフトウェアが依存するパッケージの更新、いわゆるdependency updateをどのような形で行っていますか? SmartBankが提供するサービスB/43の開発では主にGitHubのDependabot version updates機能を用いて定期的なdependency updateを行っています*1。これは簡単にいえばGitHub repositoryにYAMLファイルを置いておくだけで自動的かつ定期的にversion updateのpull requestを作ってくれる便利なやつです。 便利ではあるのですが、アプリケーション規模やチーム体制によっては日々作成されるpull requestをさばくのに苦労することがあります。本記事ではそのような運用課題を解決するために導入した、GitHub Appを使った自動マージについて解説します。

    • GitHub Dependabot Alertを愚直に潰し込んだ話 - 10X Product Blog

      こんにちは、セキュリティチームでソフトウェアエンジニアをしてる@sota1235です。 明けましておめでとうございます!本年も10X Product Blogを何卒よろしくお願いします。 さて、今回はセキュリティチームで今年の6月ごろから取り組んできたGitHub Dependabot Alertの削減についてお話しします。 サマリーとしては以下です。 今年の6月頃から取り組みを開始 初期はセキュリティチームで毎日トリアージ、泥臭くAlertの対応を行う 主要なRepositoryのAlertは一通り解消、一部は担当チームへの移譲等を行い継続的に維持できる状態へ 結果として半年間で500件弱のAlertをcloseし、残ってるAlertも対応方針が全て確定した状態になりました。 この数が多いか少ないかはソースコードの規模感にも依存するので言及しませんが、この記事では小さいリソースで取り組み

      • GitHub Actions で Dependabot のプルリクエストの滞留を防ぐ仕組みづくり

        自動的にライブラリのアップデートのプルリクエストを作ってくれるDependabotはとても便利です。ただ、何かと通常の開発タスクに追われライブラリアップデートのプルリクエストは滞留しがちです。それを解決するための仕組みはないかなと思い、試行錯誤してみたので書きます。 静的アセットのビルド差分からレビューの必要性を判断 今のチームのプロダクトでは静的アセット(JS, CSS, Image)のビルドにのみ Node.js を利用しています。 そのため、npm モジュールのライブラリアップデート時にプルリクエストのブランチでビルドされた静的アセットが、master ブランチでビルドされた静的アセットと差分がなければプロダクトの動きは変わららないはずです。 なので、そのビルド差分の有無をみれば詳細なレビューが必要かどうか判断できます。差分もなく CI も通っていればほぼ動作確認は不要で、Chang

        • Dependabot 運用を自動化したい - Money Forward Developers Blog

          この記事は、Money Forward Engineering 1 Advent Calendar 2022 16日目の投稿です。 Money Forward ME サーバサイドエンジニアの島津です。 今回は、Dependabot 運用の自動化について、ご紹介したいと思います。 Dependabot について Dependabot は、プロジェクトで使用されているライブラリの脆弱性を監視し、依存関係を最新の状態に保つための、GitHub のサービスです。 その中でもいくつか機能がありますが、今回は Dependabot version updates の機能を使用した際の自動化についてです。 この機能を使うと、リポジトリ内の各種パッケージのバージョンをチェックし、常に最新に保つために自動的に bot が プルリクエストを作成してくれます。 詳しい設定方法は割愛しますが、リポジトリ内で .g

          • Go 1.16以降はGitHub版Dependabotを使った方がよさそう - くりにっき

            前提 3rd party版Dependabot GitHub版Dependabot どうしてGo.1.16以降はGitHub版Dependabotを使った方がいいのか? 3rd party版 vs GitHub版 前提 一言でDependabotと言っても実は2種類あります 3rd party版Dependabot dependabot.com *1 設定ファイルは .dependabot/config.yml https://dependabot.com/docs/config-file/ 最初にできたやつ PRを作る時のユーザ名がdependabot-preview *2 GitHub版Dependabot docs.github.com 設定ファイルは .github/dependabot.yml https://docs.github.com/en/github/administe

            • Dependabot alertをSlackに通知して、トリアージ運用に役立てる仕組みを作ってみた - freee Developers Hub

              こんにちは、PSIRTのWaTTsonです。 去年の12月にAdvent CalendartでAWS SecurityHubの結果をSIEM on Amazon OpenSearch Serviceに取り込んだ話を書きました: developers.freee.co.jp 今回は、同じくSIEM on OpenSearchを使った話で、GitHubのDependabotの運用に関することを書きたいと思います。 Dependabotの運用上の課題点 Dependabotはプロジェクトで使われているライブラリの依存関係をチェックし、古いものやセキュリティ上の問題があるものをアラートするサービスです。元々は独立したサービスでしたが、2019年にGitHubに買収されて、今はGitHubの公式機能として提供されています。 freeeでは、依存ライブラリの脆弱性管理に長らくyamoryを使っていまし

              • Dependabotを導入してライブラリの脆弱性対策を自動化する - VISASQ Dev Blog

                こんにちは!クライアント開発チームの安野です。 クライアント開発チームでは、クライアントポータルという to B 向けのサービス開発を担当しており、私はそこでフロントエンド・バックエンドの開発に携わっています。 クライアントポータルの内容はこちらからも確認できるので、ご興味があれば是非ご一読いただけますと幸いです! square.visasq.com そんなクライアント開発チームですが、この度、 Dependabot というライブラリの脆弱性管理ツールを導入しました。 今回は導入にあたって調査した Dependabot について共有できればと思います。 はじめに ソフトウェア開発において、外部ライブラリの利用はもはや常態化しています。 豊富な機能や開発効率の向上といったメリットから、多くのプロダクトにライブラリが活用されています。 しかし、外部ライブラリにも脆弱性が含まれる可能性があり、発

                • Automating Dependabot with GitHub Actions - GitHub Docs

                  About Dependabot and GitHub Actions Dependabot creates pull requests to keep your dependencies up to date, and you can use GitHub Actions to perform automated tasks when these pull requests are created. For example, fetch additional artifacts, add labels, run tests, or otherwise modifying the pull request. Responding to events Dependabot is able to trigger GitHub Actions workflows on its pull requ

                  • GitHubのDependabotが作るプルリクエストで動くCI/CDで、デプロイさせたくない | DevelopersIO

                    GitHubには、Dependabotという便利な機能があります。 これは、利用しているライブラリに脆弱性が見つかったり、更新できる場合に、自動でプルリクエストを作ってるくれる機能です。 Keeping your supply chain secure with Dependabot - GitHub Docs GitHubにDependabotを導入して依存ライブラリを自動アップデートする | DevelopersIO とてもありがたい機能なのですが、同時にプルリクエスト(のためのブランチ)が作られて、同時にCI/CDが動いて、同時に同じAWS環境にデプロイされるのは嬉しくありません。 そこで、本記事では、「Dependabotで作られたプルリクエストの場合、デプロイさせない」を試してみます。 なお、CI/CDはCircleCIを使います。 おすすめの方 GitHubのDependabo

                    • freee PSIRTの風景:Dependabot alertの調査 - freee Developers Hub

                      こんにちは、PSIRTのWaTTsonです。 昨年の夏頃に、「Dependabot alertをSlackに通知して、トリアージ運用に役立てる仕組みを作ってみた」という記事を投稿しました: developers.freee.co.jp ここでは、新しく報告されたDependabot alertをSlackに通知し、Jiraチケットを作成してPSIRTメンバーをアサインし、トリアージを行って各開発チームのチャンネルにメッセージを送信する、という仕組みについて説明しました。 今回は、この中でPSIRTメンバーがトリアージをする時にどういう風なことをしているのかを書いてみたいと思います。 過去に私自身にアサインされた事例の中から1つ、具体例を挙げて見てみましょう。執筆に時間をかけてしまったせいでちょっと古い例ですが、2024年3月頃アラートが上がったにRDoc RCE vulnerability

                      • Dependabot が起動する GitHub Actions Workflow から write 権限が無くなった件

                        Dependabot から送られてくるプルリクエストのテストが最近良くコケるようになったなあと思ったら、 3 月 1 日から GitHub Actions Workflow 内の GITHUB_TOKEN のパーミッションが変更になったそうです。 GitHub Actions: Workflows triggered by Dependabot PRs will run with read-only permissions 更新されたパッケージに secrets を盗み見るような危険なコードが含まれているかもしれません。 そのようなコードでも安全に実行できるよう read-only のパーミッションで実行されるようになりました。 その結果以下のようなワークフローが失敗するようになってしまいました。 プルリクエストにラベルをつけるような、レポジトリに対して write パーミッションが必要な

                        • Dependabot CLI がローカルディレクトリをサポートした - 知らないけどきっとそう。

                          Dependabot のテストやデバッグに使用する dependabot/cli は、これまで GitHub 等のレポジトリを指定して、依存関係の更新ジョブを出力することしかできなかったが、新たにローカルディレクトリの指定が可能になった。 github.com 毎回 GitHub レポジトリにプッシュする必要がなくなり、テストが容易になる。 現時点で Usage に反映されていないが、以下のとおり --local とパスを指定する。レポジトリ名がないとエラーになるが、適当な文字列で問題なかった。 $ dependabot update terraform dummy --local . -o job.yamlこれを利用して、Dependabot が、特定の条件で Terraform モジュール内のバージョン制約を更新しない挙動を、いくつか確認した。Dependabot は、与えられたディレ

                          • Keep all your packages up to date with Dependabot

                            • GitHub、Dependabotの基本コンポーネントdependabot-coreをOSSとして利用可能に | gihyo.jp

                              GitHub⁠⁠、Dependabotの基本コンポーネントdependabot-coreをOSSとして利用可能に GitHubは2024年5月13日、リポジトリ内の依存関係を監視しチェックするツールDependabotの基本コンポーネントdependabot-coreを、MITライセンスにもとづくオープンソースとして利用可能にしたことを発表した。 dependabot-core is now open source with an MIT license -The Github Blog 📣 Dependabot is now open source!https://t.co/RXpQG38AiD — GitHub (@github) May 14, 2024 Dependabotは、リポジトリ内の依存関係のアップデートの有無を検知して、自動でプルリクエストを発行したり、アラートの通知を

                              • Introducing auto-triage rules for Dependabot

                                • A smarter, quieter Dependabot

                                  • A faster way to manage version updates with Dependabot

                                    • DependabotでAndroidのライブラリが検知できない場合の対処法 - Pepabo Tech Portal

                                      minne事業部プロダクト開発チームのtepiです。DependabotでAndroidのライブラリが検知できない場合の対処方法についてご紹介したいと思います。 Dependabotとは 事象 デバッグ 理由 対処法 対処法後 まとめ Dependabotとは DependabotはGitHub上で動く自動でライブラリのアップデートを検知できるツールです。 ペパボではGitHub Enterpriseを使って開発を行っており、社内的にはDependabotが推奨されているため、先日公開された記事にも記載の通りRenovateからDependabotに移行しました。 事象 上記の通り移行を行ったのですが、全くPRが作成されないライブラリがいくつもあり、 最初はライブラリがきちんとアップデートされているかつそこまで更新頻度が多くないのかと気にしていなかったのですが、 ある時調べたところ全くアッ

                                      • renovateとDependabotの連携による脆弱性管理 - KAKEHASHI Tech Blog

                                        この記事は秋の技術特集 2024の5記事目です。 カケハシではライブラリの更新検知にrenovateを利用しています。renovateは実行スケジュールの設定やパッチのグルーピングができるなどの機能が便利ですが、脆弱性データベースを持っていないため、検知された更新が脆弱性対応か否かがわかりません。 最終的にはすべて対応するべきですが、対応の優先順位づけのためどれが脆弱性対応パッチなのかわかると便利です。 GitHubでrenovateを使っている場合、Dependabot Alertsと組み合わせることで、Dependabotの脆弱性情報を利用してrenovateでも脆弱性を検知できます。 Dependabotシリーズについて Dependabotを有効化すると、renovateとDependabotで二重にPRが作られるのでは?と心配されるかもしれませんが、その問題はありません。費用もか

                                        • Dependabot now updates your Actions workflows

                                          • Improving the developer experience for Dependabot alerts

                                            ProductSecurityImproving the developer experience for Dependabot alertsToday, we’re shipping improvements to Dependabot alerts that make them easier to understand and remediate. At GitHub, we believe in providing developer-first experiences to help you keep your code secure. Since we launched Dependabot alerts nearly four years ago, we’ve alerted users on over 425 million potential vulnerabilities

                                            • DependabotとRenovateってどっちがいいの? - Qiita

                                              この記事は第二のドワンゴ Advent Calendar 2019の10日目の記事です。 この記事の概要 Webフロント開発をしている際に、npmライブラリのマイグレーションって結構コストかかるので自動化したいよねって動機の元、そのためのツールとしてDependabotとかRenovateとかあるけど、どっち使うのが良さそうかなという検討をしました。 ただし、あくまでもnpmライブラリの更新という側面からの記事のため、他の言語やパッケージ管理システムからの側面についての検討はされていないことをご留意ください。 また、時間に追われて書きなぐった内容になっていて後で書き直すかもしれませんがご了承いただければと思います。 結論 先に結論だけ書いてしまうと、Github EnterpriseやArtifactoryなどのprivate npm registryを使っている自分たちの環境ではReno

                                              • Grouped version updates for Dependabot public beta

                                                June 30, 2023 Dependabot version updates helps you keep your dependencies up-to-date by opening pull requests when dependencies can be upgraded. With today's release, you can now group version updates by dependency name. Until today, Dependabot would always open individual pull requests for every dependency update in accordance with your configuration in dependabot.yml. Not only can this result in

                                                • Dependabotを使ってGoプロジェクトの依存を更新するノウハウ | おそらくはそれさえも平凡な日々

                                                  システムを運用していく以上、ライブラリは常に最新を使いたい。最近は依存ライブラリの更新を検知してくれる便利なサービスがいくつかあって、Nature社ではDependabotを使っている。 https://dependabot.com/ Renovateの方が便利そう、という話も聞くのだが、とりあえずDependabotはGitHubが買収して、privateリポジトリでも無料で使えるので利用している。 導入自体は簡単で、画面のガイドどおりに進んでいけば、良い感じに言語や依存管理ツールも自動検出してくれる。設定ファイルは特に置いていない。慣れてきたり、設定を横展開したくなった場合に置くと便利そう。 参考: Dependabotの設定ファイルを置くようにした 動作の様子 前提としてGo Modulesで依存管理をしているが、依存ライブラリの更新があると以下のようにpull requestを上げ

                                                  • dependabot-core is now open source with an MIT license · GitHub Changelog

                                                    • GitHubにDependabotを導入して依存ライブラリを自動アップデートする | DevelopersIO

                                                      吉川@広島です。 掲題の通り、GitHubのDependabot機能をONにして、「プロジェクトで利用している依存ライブラリで新しいバージョンが出たら自動でPRを作ってもらう」というのをやりたいと思います。 知らなかったのですが、DependabotってGitHubに買収されていたんですね。 皆さんと一緒に、より連携したコミュニティを築いていく - GitHubブログ TL;DR 設定手順は公式ブログのGIFアニメを見れば一発でわかると思います。 ハマった点 marketplaceにGitHub Previewがない ググって調べていると、GitHub MarketplaceからDependabot Previewを入れるという情報が見つかります。しかし、実際にmarketplaceで検索してもDependabot Previewなるものは出てきません。 Goodbye Dependabo

                                                      • GitHub Actions: Workflows triggered by Dependabot PRs will run with read-only permissions · GitHub Changelog

                                                        • Dependabot unlocks transitive dependencies for npm projects

                                                          September 7, 2022 Your GitHub repositories with Dependabot alerts enabled and Dependabot security updates enabled will automatically generate Dependabot pull requests for vulnerable npm transitive dependencies. Previously, Dependabot couldn't generate a security update for a transitive dependency when its parent dependency required incompatible specific version range. In this locked state, develop

                                                          • Dependabot pull requests pause for inactivity · GitHub Changelog

                                                            • Check! GitHub Dependabot について知る

                                                              背景 Dependabot 自体は、2019 年に GitHub に買収され、現在は GitHub がホストしています。経緯は下記をご参考ください。 Dependabot alerts Dependabot は下記の契機でリポジトリ内の依存関係の検査を行い、脆弱性のある依存関係を検出すると、 Dependabot alert を発行します。依存関係グラフ(dependency graph) がサポートするパッケージが対象です。 GitHub Advisory Database に新しい脆弱性が報告されたとき リポジトリの 依存関係グラフ(dependency graph) に変更があったとき 検出された alerts は、リポジトリの「Security」の「Dependabot alerts」から確認できるほか、admin 権限をもつユーザーに通知されます。 なお、他の権限を持たないユーザ

                                                              • Dependabot on GitHub Actions and self-hosted runners is now generally available

                                                                • Goodbye Dependabot Preview, hello Dependabot!

                                                                  • [GitHub Actions] Secrets や書き込み権限が必要な Workflow を Dependabot からも使えるようにする

                                                                    先月、とある GitHub リポジトリで使っている Dependabot が送ってくる Pull request の CI が軒並み落ちるようになり、状況を見てみるとどうやらリポジトリの Secrets がうまく Workflow のジョブに渡せていない事が原因の様でした。 公式ブログによると 2021 年 3 月 1 日以降、 Dependabot が特定のいくつかのトリガーにより開始した Workflow (※) では Secrets が読み込めなくなり、また GITHUB_TOKEN についても書き込み権限が剥奪され、リポジトリへの書き込み操作ができなくなってしまった様です。 具体的には、 Dependabot からの Pull request は書き込み権限を有さないユーザーからの物と同様 (Fork 経由と同様) になっている様で、元々このポリシーについては去年の記事 Keepi

                                                                    • Renovate と Dependabot の比較 | Melody

                                                                      普段 Renovate を主に使っている自分が、 Dependabot と Renovate の違いについて調べてみました。 普段 Renovate を主に使っているので、 Renovate 寄りの内容になっています。 気分を害する人がいましたら申し訳ありません。 Dependabot の理解が浅いので間違ってたら指摘してもらえると助かります。 2020-12-01 時点の情報です。 設定項目の数​https://docs.github.com/en/free-pro-team@latest/github/administering-a-repository/configuration-options-for-dependency-updates#directoryhttps://docs.renovatebot.com/configuration-options/まずは設定のドキュメント

                                                                      • GitHubのDependabotでSwift Packageのアップデートを監視する

                                                                        2023/8/1にようやくDependabotがSwiftをサポートしました🎉 ということで、Dependabotを使ってSwift Packageのアップデートを監視する方法をまとめます。 前提 DependabotにはDependabot alertsとDependabot security updatesとDependabot version updatesの3種類があるが、今回は3つ目の話 あくまでSwift Packageの依存ライブラリのアップデート検出が対象 アップデートを監視できるのはPackage.swiftで依存の定義をしている外部Package Xcode Project(.xcodeproj)で依存の定義をした外部Packageは対象外 方法 Dependabot version updatesを有効にするには、リポジトリのルートディレクトリに.githubという

                                                                          GitHubのDependabotでSwift Packageのアップデートを監視する
                                                                        • GitHub Dependabotのセキュリティアラートが来たので対処してみた | DevelopersIO

                                                                          こんにちは、CX事業本部 IoT事業部の若槻です。 今回は、GitHub Dependabotのセキュリティアラートが来たので対処してみました。 Dependabotのセキュリティアラートが来ていた GitHubアカウントでなにか通知が来ていたのでなんだろうと確認すると、私の管理しているRepositoryで脆弱性が見つかったという内容のものでした。通知を開いてみます。 react-amazon-chime-sdkというRepository(以前個人検証用に作成しそのまま放置していたもの)に作成されている2つのファイル対するアラートのようです。yarn.lockの方のアラートを開いてみます。(1つPRが作られているのが見えますが、一旦無視してください) アラートを発生させたのはDependabotという機能で、url-parseパッケージでHighレベルのアラートが出ているようです。開いて

                                                                            GitHub Dependabotのセキュリティアラートが来たので対処してみた | DevelopersIO
                                                                          • GitHub Dependabotが自動作成してくれるPRの中で、パッチバージョンの更新だけAutoMergeする | DevelopersIO

                                                                            GitHub Dependabotが自動作成してくれるPRの中で、パッチバージョンの更新だけAutoMergeする 吉川@広島です。 先日、 GitHubにDependabotを導入して依存ライブラリを自動アップデートする | DevelopersIO という記事を書きました。さらに掲題のことを実現するにはどうすれば良いのかなーと思っていたところ、ちょうどはてなブックマークで下のドキュメントが浮上していて解決できましたので、その方法を紹介したいと思います。 [B! github] Automating Dependabot with GitHub Actions - GitHub Docs Automating Dependabot with GitHub Actions - GitHub Docs TL;DR GitHub DependabotでPRを自動作成する GitHub Acti

                                                                              GitHub Dependabotが自動作成してくれるPRの中で、パッチバージョンの更新だけAutoMergeする | DevelopersIO
                                                                            • 【Github actions】DependabotのPull RequestでSecretsが参照できずワークフローがFailになった場合の対処 - Simple minds think alike

                                                                              Dependabot のPull Request(以下PR)が作られた際に開始したGithub Actionsワークフローが Secrets を参照できずに失敗していたので原因を調べてみました。 2021/3/1から適用になった以下のUpdateが影響していて、 Dependabot から実行される Github Actionsワークフローは読み取りだけが可能な GITHUB_TOKEN のみ使うことができ、いかなる Secrets も使えなくなるという変更が原因でした。 github.blog なので、例えばpushイベントトリガーで実行されるワークフローの中で Secrets として追加しておいたPersonal access tokensを使って、取得したカバレッジのサマリをコメントで追加したり、自動でラベルを追加するといった書き込み(write)権限が必要な場合は、ワークフローが落

                                                                              • Configuration options for the dependabot.yml file - GitHub Docs

                                                                                About the dependabot.yml file The Dependabot configuration file, dependabot.yml, uses YAML syntax. If you're new to YAML and want to learn more, see "Learn YAML in five minutes." You must store this file in the .github directory of your repository in the default branch. When you add or update the dependabot.yml file, this triggers an immediate check for version updates. For more information and an

                                                                                  Configuration options for the dependabot.yml file - GitHub Docs
                                                                                • Dependabot Updates on Actions for GitHub Enterprise Cloud and Free, Pro, and Teams Users · GitHub Changelog

