背景・目的
github/codeql-action について
僕の管理しているGitHubレポジトリーの一部はCodeQLを使って脆弱性の診断を行っています。 診断には公式のgithub/codeql-action Actionを使って、GitHub Actions上で実行しています。
github/codeql-actionは内部で複数のアクションを提供しており、これらのアクションを組み合わせて診断を行います。
initアクションanalyzeアクションautobuildアクション- etc.
これらのActionsはバージョンが食い違っていると、警告やエラー、予期しない結果につながるため、常にバージョンを一致させておく必要があります。
dependabotの仕様変更?
今まではgithub/codeql-actionに関連するActionをdependabotはすべて一括更新してくれました。
しかし7月初めから、なぜか複数のプルリクエストに分割されるようになりました。
- build(deps): bump github/codeql-action/analyze from 4.36.2 to 4.36.3 #525
- build(deps): bump github/codeql-action/init from 4.36.2 to 4.36.3 #526
- build(deps): bump github/codeql-action/autobuild from 4.36.2 to 4.36.3 #527
バージョンの不一致でCIがコケるので、このままではこれらのプルリクエストは取り込めません。
github/codeql-action のアップデートをまとめる
これだと困るので一括更新してくれるよう、.dependabot.yaml の設定を更新しました。
version: 2
updates:
# Maintain dependencies for GitHub Actions
- package-ecosystem: "github-actions"
directory: "/"
schedule:
interval: "daily"
# 新しく追加した部分
groups:
codeql-actions:
patterns:
- "github/codeql-action/*"
これで github/codeql-action のバージョンの食い違いを避けやすくなります。
まとめ
dependabotが何もしてないのに壊れたプルリクエストを送って来るようになったので、 設定をいじって対応しました。
うさぎが跳ねて、更新をひとまとめ
CodeQLの枝葉も、仲よく並んで
CIの道を軽やかに駆ける
にんじん片手に、記事を祝おう
ぴょん、ぴょん、よい変更!by CodeRabbit