dependabotの設定

dependabot

引き続き前日からの続き。 GitHub Actionsでlinterを動かすようにしたついでに、dependabotの設定をした。 特に出して問題ないコードなので出してしまうがこんな感じ。

version: 2
updates:
  # GitHub Actions
  - package-ecosystem: 'github-actions'
    directory: '/'
    schedule:
      interval: 'weekly'
      day: 'friday'
      time: '19:00'
      timezone: 'Asia/Tokyo'
    cooldown:
      default-days: 7

  # npm (works with pnpm)
  - package-ecosystem: 'npm'
    directory: '/'
    schedule:
      interval: 'weekly'
      day: 'friday'
      time: '19:00'
      timezone: 'Asia/Tokyo'
    cooldown:
      default-days: 7

あまり頻度が高いと現在プライベートリポジトリで管理しているのもあり、無駄にGitHub Actionsの時間を食ってしまうので頻度をweeklyにしている。

また、昨今のcooldown設定を入れることで、サプライチェーン攻撃対策も入れた。 .npmrcminimumReleaseAge=10080と書いておくと、pnpm側でも防衛できるので是非入れておきたい設定だ。