참고 자료 : GiHub Docs - Configuring Dependabot version updates
chatgpt

사용 방법

1. GitHub 리포지토리 설정:

• GitHub 리포지토리로 이동합니다.
• "Settings" 탭을 클릭하고, 왼쪽 사이드바에서 "Security & analysis" 를 선택합니다.
• "Dependabot alerts" 설정을 활성화합니다.

2. Dependabot 설정 파일 생성:

• 리포지토리 내에 .github/dependabot.yml 파일을 생성합니다. (파일 경로가 이미 존재한다면 해당 파일을 열어도 됩니다.)
• 아래와 같이 Dependabot 설정을 작성합니다:

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"

• 코드 설명
  위 예시는 npm 패키지 매니저를 사용하며, 매일 업데이트를 확인하도록 설정한 것입니다. 다른 패키지 매니저를 사용하는 경우 package-ecosystem 값을 조정해야 할 수 있습니다.

version: 2 # Dependabot 설정 파일의 버전을 지정. 여기서는 두 번째 버전인 version 2를 사용
updates: # 업데이트 정보를 정의하는 섹션의 시작을 나타냄
  - package-ecosystem: "npm" # 업데이트 대상 패키지 매니저를 지정. "pip" (Python), "composer" (PHP), "docker" 등. 여기서는 npm을 사용.
    directory: "/" # 업데이트를 적용할 디렉토리를 지정. 여기서는 프로젝트 루트 디렉토리인 "/"를 사용
    schedule: # 업데이트의 스케줄을 설정하는 섹션의 시작을 나타냄.
      interval: "daily" # 업데이트를 얼마나 자주 확인할지를 설정. 여기서는 "daily"로 매일 업데이트를 확인하도록 설정

3. Pull Request 확인:

• 설정 파일을 저장하고 GitHub 리포지토리에 푸시합니다.
• Dependabot은 설정된 주기에 따라 종속성 업데이트를 확인하고, 업데이트할 것을 발견하면 관련된 Pull Request를 생성합니다.

4. Pull Request 리뷰 및 머지:

• 생성된 Pull Request를 확인하고 업데이트된 종속성이 문제 없는지 확인합니다.
• 문제가 없다면 해당 Pull Request를 머지하여 종속성을 업데이트합니다.

추가적 옵션

다음과 같은 설정과 기능을 통해 Dependabot을 프로젝트에 더욱 효과적으로 통합하고, 자동으로 종속성을 최신화하고 보안을 강화할 수 있습니다. 프로젝트의 요구 사항에 맞게 설정을 조정하여 사용할 수 있습니다.

• 버전 제한 설정: 특정 버전 이상으로 업데이트하지 않도록 제한할 수 있습니다. 이를 통해 마이너 버전까지만 업데이트하도록 할 수 있습니다.

• 보안 업데이트만 처리: 보안 취약점과 관련된 업데이트만 처리하도록 설정할 수 있습니다.

• Pull Request 템플릿: 생성되는 Pull Request의 내용을 커스터마이징하여 개발자에게 어떤 변경이 있는지 자세히 안내할 수 있습니다.

• 업데이트 제외 설정: 특정 패키지나 버전을 업데이트 대상에서 제외할 수 있습니다.

• 다양한 패키지 매니저 지원: npm, pnpm, yarn 등 여러 패키지 매니저를 함께 사용하는 경우 각각에 대한 설정을 별도로 추가할 수 있습니다.

• Merge Policy 설정: 여러 업데이트를 한 번에 합치거나, 순차적으로 합치도록 Merge Policy를 설정할 수 있습니다.

• Workflows와 연동: Dependabot 업데이트를 자동으로 테스트하고 머지하기 위해 GitHub Actions 등의 워크플로우를 설정할 수 있습니다.

• 자동 Merge 설정: 업데이트가 자동으로 머지되도록 설정할 수 있습니다.