# GitHub Dependabot のバージョンアップデートについて

Dependabot を使用して、使用するパッケージを最新バージョンに更新しておくことができます。

## Dependabot version updates について

Dependabot は、依存関係を維持する手間を省きます。 これを使用して、リポジトリが依存するパッケージおよびアプリケーションの最新リリースに自動的に対応できるようにすることができます。

Dependabot によって pull request が発生する場合、その pull request は、"*セキュリティ*" 更新プログラムか "*バージョン*" アップデートを対象としたものである可能性があります。

* *Dependabot security updates* は、既知の脆弱性を持つ依存関係を更新するのに役立つ、自動化された pull request です。
* *Dependabot version updates* は、依存関係に脆弱税がなくても、依存関係を最新の状態に維持する、自動化された pull request です。 バージョン更新の状態をチェックするには、リポジトリの **\[Insights]** タブに移動し、**\[Dependency Graph]** と \[Dependabot] を選びます。

  ```
          `dependabot.yml` 構成ファイルをリポジトリにチェックインして、Dependabot version updates を有効にします。
  ```

Dependabot とすべての関連する機能は、[GitHub の利用規約](/ja/site-policy/github-terms/github-terms-of-service)でカバーされています。

## パッケージの更新

```
          `dependabot.yml`構成ファイルは、マニフェストの場所、またはリポジトリに格納されている他のパッケージ定義ファイルの場所を指定します。 Dependabot ではこの情報を使用して、期限切れのパッケージとアプリケーションが検査されます。 Dependabot では、依存関係のセマンティック バージョニング ([semver](https://semver.org/)) を調べて、依存関係の新しいバージョンの有無が判断され、そのバージョンへ更新すべきかどうかが決定されます。 サポートされているリポジトリとエコシステムについては、「[AUTOTITLE](/code-security/dependabot/ecosystems-supported-by-dependabot/supported-ecosystems-and-repositories)」を参照してください。

          `dependabot.yml` ファイルは、 Dependabot に依存関係を維持する方法を指示するように構成することもできます。 詳しくは、「[AUTOTITLE](/code-security/concepts/supply-chain-security/about-the-dependabot-yml-file)」をご覧ください。
```

特定のパッケージマネージャーでは、Dependabot version updates もベンダをサポートしています。 ベンダ (またはキャッシュ) された依存関係は、マニフェストで参照されるのではなく、リポジトリ内の特定のディレクトリにチェックインされる依存関係です。 パッケージサーバーが利用できない場合でも、ビルド時にベンダ依存関係を利用できます。 Dependabot version updates は、ベンダの依存関係をチェックして新しいバージョンを確認し、必要に応じて更新するように設定できます。

Dependabot で以前の依存関係が特定されると、マニフェストを依存関係の最新バージョンに更新する pull request が発行されます。 ベンダーの依存関係の場合、Dependabot はプルリクエストを生成して、古い依存関係を新しいバージョンに直接置き換えます。 テストに合格したことを確認し、プルリクエストの概要に含まれている変更履歴とリリースノートを確認して、マージします。 詳しくは、「[Dependabot バージョンの更新の構成](/ja/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates)」をご覧ください。

```
          _セキュリティ更新プログラム_ を有効にすると、Dependabot でも pull request が発行され、脆弱性のある依存関係を更新します。 詳しくは、「[AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)」をご覧ください。
```

## アクションの更新

多くの場合、アクションはバグ修正と新機能で更新され、自動プロセスの信頼性、速度、安全性が向上しています。 Dependabot version updates の GitHub Actions を有効にすると、Dependabot は、リポジトリの *workflow\.yml* ファイル内のアクションへの参照とワークフロー内で使用さえる再利用可能なワークフローが最新の状態に保ちます。

Dependabot では、ファイル内のアクションごとに、アクションのリファレンス (通常、アクションに関連付けられているバージョン番号またはコミット ID) が最新バージョンと参照されます。 より新しいバージョンのアクションが使用可能な場合、Dependabot によって、ワークフロー ファイル内のリファレンスを最新バージョンに更新する pull request が送信されます。

Dependabot は、ワークフロー ファイルで再利用可能なワークフローの使用をチェックし、再利用可能なワークフローと呼ばれる Git 参照を更新します。

この機能を有効にするには、 [Dependabot でアクションを最新に保つ](/ja/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/keeping-your-actions-up-to-date-with-dependabot) を参照してください。

## Dependabot updates

の自動非アクティブ化について

リポジトリのメンテナが Dependabot pull request の操作を停止すると、Dependabot はその更新を一時的に停止し、そのことが通知されます。「[Dependabot 更新の「プルリクエスト」が生成されなくなりました](/ja/code-security/dependabot/troubleshooting-dependabot/dependabot-updates-stopped)」を参照してください。

## Dependabot バージョン更新の通知について

GitHub で通知をフィルター処理して、Dependabot によって作成された pull request の通知を表示できます。 詳しくは、「[インボックスからの通知を管理する](/ja/account-and-profile/managing-subscriptions-and-notifications-on-github/viewing-and-triaging-notifications/managing-notifications-from-your-inbox)」をご覧ください。