■ はじめに

　CI/CD に関する打ち合わせの中で、
「Dependabot (ディベンダ ボット)」なるものが出てきたので
メモしておく。

【１】Dependabot

* パッケージ管理（e.g. Poetry）のマニフェストファイルを見て、
　安全ではないライブラリを検知し、Web UI上に通知したり、
　それを解決するためのプルリクを自動で生成してくれるサービス
* 元は独立したサービスだったが、2019 年に GitHub が買収

実際に表示されたメッセージ

We found potential security vulnerabilities in your dependencies.
Only the owner of this repository can see this message.

【２】サポート言語

* JavaScript/TypeScript (npm, yarn)
* Python (pip, pipenv, pip-compil, poetry)
* Ruby (Bundler)
* PHP (Composer)
* Rust (Cargo)
* Docker
* Terraform
* GitHub Actions
* Java/Kotolin (Gradle, Maven)
* .NET (NuGet)
* Go (Go modules)
etc

 => 主要な言語は、ほぼ網羅している。
 => 詳細は、以下の公式サイトを参照のこと。

https://docs.github.com/en/code-security/supply-chain-security/keeping-your-dependencies-updated-automatically/configuration-options-for-dependency-updates#package-ecosystem

【３】Dependabot の適用

* 結構、簡単に導入できるので、試してみてもいいかも。

１）Python / Poetry

https://docs.github.com/ja/code-security/supply-chain-security/keeping-your-dependencies-updated-automatically/configuration-options-for-dependency-updates#package-ecosystem

より抜粋
~~~~~~~~~~
pipenvやpoetryといったパッケージマネージャでは、
pipのYAML値を使う必要があります。
たとえばPythonの依存関係を管理するのにpoetryを使っており、
Dependabotに新しいバージョンのために依存関係のマニフェストファイルを
モニターさせたい場合は、dependabot.ymlファイル中で
package-ecosystem: "pip"を使ってください。
~~~~~~~~~~

実際の適用手順

[1] Github に [Insights]-[Dependency graph]-[Dependabot]を選択
[2] 「Enable Dependabot」、「Create config file」ボタン押下
 => 「dependabot.yml」ができる
[3] 「- package-ecosystem: ""」を「- package-ecosystem: "pip"」に変更
 => 例えば、Gradle の場合、「- package-ecosystem: "gradle"」に変更
 => 例えば、npm の場合、「- package-ecosystem: "npm"」に変更
 => 設定値は、以下のサイト参照。

https://docs.github.com/ja/code-security/supply-chain-security/keeping-your-dependencies-updated-automatically/configuration-options-for-dependency-updates

[4] 「Commit new file」ボタン押下

dependabot.yml

version: 2
updates:
  - package-ecosystem: "pip" # See documentation for possible values
    directory: "/" # Location of package manifests
    schedule:
      interval: "daily"