{"meta":{"title":"GitHub ActionsでのDependabotの自動化","intro":"GitHub Actionsを使って一般的なDependabot関連のタスクを自動化する例。","product":"セキュリティとコードの品質","breadcrumbs":[{"href":"/ja/code-security","title":"セキュリティとコードの品質"},{"href":"/ja/code-security/tutorials","title":"Tutorials"},{"href":"/ja/code-security/tutorials/secure-your-dependencies","title":"依存関係をセキュリティ保護する"},{"href":"/ja/code-security/tutorials/secure-your-dependencies/automating-dependabot-with-github-actions","title":"Dependabot と Actions の併用"}],"documentType":"article"},"body":"# GitHub ActionsでのDependabotの自動化\n\nGitHub Actionsを使って一般的なDependabot関連のタスクを自動化する例。\n\n> \\[!NOTE] この記事では、GitHub Actions を使用して Dependabot 関連のタスクを自動化する方法について説明します。 GitHub Actions を使用して Dependabot updates を実行する方法の詳細については、代わりに「[GitHub Actions ランナーの Dependabot について](/ja/code-security/dependabot/working-with-dependabot/about-dependabot-on-github-actions-runners)」を参照してください。\n\nGitHub Actions を使用すると、Dependabot が、依存関係を更新する pull request (プル リクエスト) を作成したときに、自動タスクを実行することができます。 これは次のような場合に便利です。\n\n* Dependabot pull request (バージョン更新プログラムとセキュリティ更新プログラム) が、ラベルや名前など、作業プロセスに適したデータを使って確実に作成されるようにする。\n\n* Dependabot pull request (バージョン更新プログラムとセキュリティ更新プログラム) をレビュー プロセスに送信するか、自動的にマージするワークフローをトリガーする。\n\nデータの再利用可能 dependabot.enterprise-enable-dependabot %}\n\n## Dependabot及びGitHub Actionsについて\n\n> \\[!IMPORTANT]\n> Dependabot は、リポジトリで有効になっている場合は、常に GitHub Actions で実行され、**リポジトリまたは Organization レベルでの Actions ポリシー チェックと無効化の両方をバイパス**します。 これにより、Dependabot が有効になっているときは、常にセキュリティとバージョンの更新ワークフローが常に実行されるようになります。\n\n依存関係を最新の状態に保つために、Dependabot が pull request (プル リクエスト) を作成します。 GitHub Actions を使用すると、これらの pull request (プル リクエスト) が作成されたときに自動タスクを実行できます。 たとえば、追加の成果物のフェッチ、ラベルの追加、テストの実行、あるいは pull request (プル リクエスト) の変更ができます。\n\nDependabot は、pull request とコメントで GitHub Actions ワークフローをトリガーできます。ただし、特定のイベントは異なる方法で処理されます。 詳細については、「[GitHub Actions の Dependabot のトラブルシューティング](/ja/code-security/dependabot/troubleshooting-dependabot/troubleshooting-dependabot-on-github-actions)」を参照してください。\n\n以下は、GitHub Actions を使用して自動化できる pull request (プル リクエスト) に対応する一般的ないくつかのシナリオです。\n\n## pull reqeust (プル リクエスト) に関するメタデータのフェッチ\n\n大半の自動化では、依存関係の名前が何か、それは実働環境の依存関係か、メジャー、マイナー、パッチアップデートのいずれなのかといった、pull request (プル リクエスト) の内容に関する情報を知ることが必要です。 アクションを使用すると、Dependabot によって生成された pull request (プル リクエスト) が更新した依存関係に関する情報を取得できます。\n\n例:\n\n```yaml copy\n# このワークフローはGitHubによって認定されていないアクションを使用します。\n# それらはサードパーティによって提供され、\n# 別個の利用規約、プライバシーポリシー、\n# ドキュメントを参照してください。\nname: Dependabot fetch metadata\non: pull_request\n\npermissions:\n pull-requests: write\n issues: write\n\njobs:\n dependabot:\n runs-on: ubuntu-latest\n if: github.event.pull_request.user.login == 'dependabot[bot]' && github.repository == 'owner/my_repo'\n steps:\n - name: Dependabot metadata\n id: metadata\n uses: dependabot/fetch-metadata@d7267f607e9d3fb96fc2fbe83e0af444713e90b7\n with:\n github-token: \"${{ secrets.GITHUB_TOKEN }}\"\n # The following properties are now available:\n # - steps.metadata.outputs.dependency-names\n # - steps.metadata.outputs.dependency-type\n # - steps.metadata.outputs.update-type\n```\n\n詳細については、[`dependabot/fetch-metadata`](https://github.com/dependabot/fetch-metadata) リポジトリを参照してください。\n\n## pull request (プル リクエスト) のラベル付け\n\nGitHub ラベルに基づく他の自動化ワークフローやトリアージ ワークフローが存在する場合は、提供されたメタデータに基づいてラベルを割り当てるアクションを構成できます。\n\nすべての運用依存関係の更新にラベルを付ける例:\n\n```yaml copy\n# このワークフローはGitHubによって認定されていないアクションを使用します。\n# それらはサードパーティによって提供され、\n# 別個の利用規約、プライバシーポリシー、\n# ドキュメントを参照してください。\nname: Dependabot auto-label\non: pull_request\n\npermissions:\n pull-requests: write\n issues: write\n\njobs:\n dependabot:\n runs-on: ubuntu-latest\n if: github.event.pull_request.user.login == 'dependabot[bot]' && github.repository == 'owner/my_repo'\n steps:\n - name: Dependabot metadata\n id: metadata\n uses: dependabot/fetch-metadata@d7267f607e9d3fb96fc2fbe83e0af444713e90b7\n with:\n github-token: \"${{ secrets.GITHUB_TOKEN }}\"\n - name: Add a label for all production dependencies\n if: steps.metadata.outputs.dependency-type == 'direct:production'\n run: gh pr edit \"$PR_URL\" --add-label \"production\"\n env:\n PR_URL: ${{github.event.pull_request.html_url}}\n```\n\n## pull request (プル リクエスト) を自動的に承認\n\nワークフロー内で GitHub CLI を使用すると、Dependabot pull request (プル リクエスト) を自動的に承認できます。\n\n例:\n\n```yaml copy\n# このワークフローはGitHubによって認定されていないアクションを使用します。\n# それらはサードパーティによって提供され、\n# 別個の利用規約、プライバシーポリシー、\n# ドキュメントを参照してください。\nname: Dependabot auto-approve\non: pull_request\n\npermissions:\n pull-requests: write\n\njobs:\n dependabot:\n runs-on: ubuntu-latest\n if: github.event.pull_request.user.login == 'dependabot[bot]' && github.repository == 'owner/my_repo'\n steps:\n - name: Dependabot metadata\n id: metadata\n uses: dependabot/fetch-metadata@d7267f607e9d3fb96fc2fbe83e0af444713e90b7\n with:\n github-token: \"${{ secrets.GITHUB_TOKEN }}\"\n - name: Approve a PR\n run: gh pr review --approve \"$PR_URL\"\n env:\n PR_URL: ${{github.event.pull_request.html_url}}\n GH_TOKEN: ${{secrets.GITHUB_TOKEN}}\n```\n\n## pull request (プル リクエスト) の自動マージを有効化\n\nメンテナーが自動マージの特定の pull request (プル リクエスト) をマークできるようにする場合は、GitHub の自動マージ機能を使用できます。 これにより、ブランチ保護ルールで必要なすべての必須テストと承認が正常に満たされた場合に、pull request がマージされます。\n\n詳細については、「[プルリクエストを自動的にマージする](/ja/pull-requests/collaborating-with-pull-requests/incorporating-changes-from-a-pull-request/automatically-merging-a-pull-request)」および「[ブランチ保護ルールを管理する](/ja/repositories/configuring-branches-and-merges-in-your-repository/managing-protected-branches/managing-a-branch-protection-rule)」を参照してください。\n\n代わりに、GitHub Actions と GitHub CLI を使用できます。 すべてのパッチ更新プログラムを `my-dependency` に自動マージする例を次に示します:\n\n```yaml copy\n# このワークフローはGitHubによって認定されていないアクションを使用します。\n# それらはサードパーティによって提供され、\n# 別個の利用規約、プライバシーポリシー、\n# ドキュメントを参照してください。\nname: Dependabot auto-merge\non: pull_request\n\npermissions:\n contents: write\n pull-requests: write\n\njobs:\n dependabot:\n runs-on: ubuntu-latest\n if: github.event.pull_request.user.login == 'dependabot[bot]' && github.repository == 'owner/my_repo'\n steps:\n - name: Dependabot metadata\n id: metadata\n uses: dependabot/fetch-metadata@d7267f607e9d3fb96fc2fbe83e0af444713e90b7\n with:\n github-token: \"${{ secrets.GITHUB_TOKEN }}\"\n - name: Enable auto-merge for Dependabot PRs\n if: contains(steps.metadata.outputs.dependency-names, 'my-dependency') && steps.metadata.outputs.update-type == 'version-update:semver-patch'\n run: gh pr merge --auto --merge \"$PR_URL\"\n env:\n PR_URL: ${{github.event.pull_request.html_url}}\n GH_TOKEN: ${{secrets.GITHUB_TOKEN}}\n```\n\n> \\[!NOTE]\n> メモ: pull request (プル リクエスト) のテストにステータス チェックを使用する場合、Dependabot pull request (プル リクエスト) に対応するターゲット ブランチで **\\[Require status checks to pass before merging (マージ前にステータス チェックの合格を必須にする)]** をオンにする必要があります。 このブランチ保護ルールを使用すると、**必須のステータス チェックすべてに合格しない限り**、確実に pull request (プル リクエスト) がマージされなくなります。 詳しくは、「[ブランチ保護ルールを管理する](/ja/repositories/configuring-branches-and-merges-in-your-repository/managing-protected-branches/managing-a-branch-protection-rule)」をご覧ください。\n\n## Dependabot と、GitHub Actions の各ポリシー\n\n通常、ワークフローがリポジトリ内で実行できるかどうかは、GitHub Actions の**ポリシー チェック**と、GitHub Actions が organization (組織) またはリポジトリのレベルで**有効**になっているかどうかによって決まります。 これらのコントロールを使用すると、ワークフローの実行を制限できます。特に、外部アクションがブロックされているとき、または GitHub Actions が完全に無効になっている吐合です。\n\nただし、Dependabot がリポジトリで有効になっている場合は、そのワークフローは常に GitHub Actions 上で実行され、**Actions ポリシー チェックと無効化の両方をバイパスします**。\n\n* Dependabot ワークフローは、Actions の無効化または Enterprise (エンタープライズ) のポリシー制限によってブロックされることはありません。\n* 外部アクションが許可されていない場合であっても、これらのワークフロー内で参照されているアクションも、また実行を許可されます。\n\n詳細については、「[GitHub Actions ランナーの Dependabot について](/ja/code-security/dependabot/working-with-dependabot/about-dependabot-on-github-actions-runners)」を参照してください。\n\n## 失敗したワークフロー実行の調査\n\nワークフローの実行が失敗した場合は、以下をチェックしてください。\n\n* 適切なアクターがトリガーした場合にのみワークフローを実行しているか。\n* `ref` に対する正しい `pull_request` をチェックアウトしています。\n* シークレットは、GitHub Actions シークレットとしてではなく、Dependabot シークレットで使用できます。\n* 適切なアクセス許可を持つ `GITHUB_TOKEN` があります。\n\nGitHub Actions の作成とデバッグに関する情報については、「[ワークフローの書き込み](/ja/actions/learn-github-actions)」を参照してください。\n\nワークフローに関する問題を解決するための他のヒントについては、「[GitHub Actions の Dependabot のトラブルシューティング](/ja/code-security/dependabot/troubleshooting-dependabot/troubleshooting-dependabot-on-github-actions)」を参照してください。"}