Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Dependabot vs BundleUpdate+LockDiff
Search
vividmuimui
June 04, 2019
Programming
90
0
Share
Dependabot vs BundleUpdate+LockDiff
original slide:
https://vividmuimui.github.io/slides/dependabot_vs_lockdiff/slides/
vividmuimui
June 04, 2019
More Decks by vividmuimui
See All by vividmuimui
あるチームでの技術選定で考えてること(外部向けに修正版)
vividmuimui
0
12
開発組織まわりで最近考えているあれこれ
vividmuimui
0
24
bundle-update.pdf
vividmuimui
0
130
あなたの知らないRuboCopの設定
vividmuimui
0
240
最近(2019/02/03)の #Ruby , #Rails , #Bundler 事情
vividmuimui
0
160
Jasperはいいぞ!
vividmuimui
0
52
Danger CI
vividmuimui
0
110
tigとかaliasなし生活を送ってみて改めてgitを覚えてる話
vividmuimui
0
130
lock_diff の紹介
vividmuimui
0
100
Other Decks in Programming
See All in Programming
AIチームを指揮するOSS「TAKT」活用術 / How to Use “TAKT,” an OSS Tool for Orchestrating AI Teams
nrslib
6
790
ReactとSvelteのその先、Ripple-TS / Beyond React and Svelte: Ripple-TS
ssssota
3
2k
脅威をエンジニアリングの糧にして――現場編 / Turning Threats into Engineering Fuel — Field Edition
nrslib
0
240
Spec-Driven Development with AI-Agents: From High-Level Requirements to Working Software
antonarhipov
2
440
Swiftのレキシカルスコープ管理
kntkymt
0
210
技術記事、AIに書かせるか、自分で書くか? 〜それでも私が自分の手で書く理由〜 / #QiitaConference
jnchito
2
1.2k
フロントエンドとバックエンドで「1文字」を揃えよう
youkidearitai
PRO
0
150
開発体験を左右するライブラリの API 設計 - GraphQL スキーマ構築ライブラリから考える #tskaigi
izumin5210
2
1.5k
[2026年度第1回ORセミナー] 計画最適化ベンチャーと競技プログラミング人材
terryu16
0
230
AI時代のUIはどこへ行く?その2!
yusukebe
19
6.4k
運用エージェントは "作る" から "育てる" へ - 記憶と自己進化の3層設計パターン / self-evolving-agents-three-layer-agent-design
gawa
12
3.4k
net-httpのHTTP/2対応について
naruse
0
420
Featured
See All Featured
The Limits of Empathy - UXLibs8
cassininazir
1
340
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
49
10k
Mind Mapping
helmedeiros
PRO
1
230
Navigating Weather and Climate Data
rabernat
0
210
jQuery: Nuts, Bolts and Bling
dougneiner
66
8.5k
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
200
The SEO identity crisis: Don't let AI make you average
varn
0
480
Discover your Explorer Soul
emna__ayadi
2
1.1k
Bash Introduction
62gerente
615
210k
Information Architects: The Missing Link in Design Systems
soysaucechin
0
950
Paper Plane
katiecoart
PRO
1
51k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
231
23k
Transcript
Dependabot vs Dependabot vs BundleUpdate+LockDiff BundleUpdate+LockDiff 2019/06/05 社内LT 資料 @vividmuimui
1
話すこと 話すこと 最近導入された と、 これまで使っていた を比較 2
ざっくり用語 ざっくり用語 3
Dependabot Dependabot ライブラリのUpdate 自動で行ってPullReqest を上げてくれるサービス 最近、private リポでも完全に無料で使えるようになった https://dependabot.com/ 4
BundleUpdate+LockDiff BundleUpdate+LockDiff CircleCI でBundleUpdate(ruby でのライブラリの更新) をしてPullReqest を作れるツール 正確には この資料では長いので と書きます
以下の合わせ技+fork したもの 社内の色んな所で使われている vividmuimui/circleci-runner yhirano55/circleci-runner masutaka/circleci-bundle-update-pr vividmuimui/lock_di 5
ざっくり用語まとめ ざっくり用語まとめ Dependabot, BundleUpdate+LockDi どちらも、ライブラリの更新をして PullReqest を上げてくれる。 Dependabot はサービスなのでとても高機能。 BundleUpdate+LockDi
は長いこと社内で便利に使ってきたやつ。 6
簡単な機能比較 簡単な機能比較 7
Dependabot BundleUpdate+LockDi PR ライブラリごとに 1PR 1 つのPR で一括で更新 言語 Ruby,JS
などたくさん Ruby だけ ChangeLog Commits rubygems へのリン ク Vulnerabilities 高機能感 組み込みやすさ 参考PR Dependabot: BundleUpdate+LockDi : vividmuimui/rails_tutorial#44 vividmuimui/lock_di _sample#15 8
Dependabot Dependabot ライブラリごとにPR があがる 対応言語が多い 脆弱性対応の更新なのかわかる Compatibility が見れる bot が優秀
必要なくなったら自動で閉じたり、コンフリクトしてたら自動で rebase してくれたりする。 カスタマイズできる 全体通して圧倒的に高機能 PR がたくさん上がってマージしていくので、CI のキューが詰まりがち https://dependabot.com/#languages https://dependabot.com/docs/con g- le/ 9
BundleUpdate+LockDiff BundleUpdate+LockDiff CircleCI に簡単に組み込める Ruby のBundle update だけできる Bundle Update
してるだけなので、1PR で一括で更新が入る LockDi もそれなりに便利 Tachikoma + LockDi といった感じで組み合わせれば、CircleCi 以 外でも簡単に動く 普段自分たちが使うコマンドでupdate されるので、理解しやすい 基本的には してPR 作ってるだけなので。 Dependabot に比べると機能が少ない 個人のOSS 開発なので 10
どっちが良いか・どう使い どっちが良いか・どう使い 分けるか 分けるか 11
どっちが良いか・どう使い分けるか どっちが良いか・どう使い分けるか 現状両方使っている。チームの中で、それが良さそうとなった。 まだ、Dependabot を導入して1 週間も立ってないが、 Dependabot はDaily, BundleUpdate+LockDi はWeekly
で動かしているのが 良いリズムっぽい。 ちなみに、yarn(JS) に関してもDependabot だけでなく以下を併用して Weekly で更新されるようにしている vividmuimui/circleci-runner yhirano55/circleci-runner taichi/ci-yarn-upgrade 12
良いリズム 良いリズム 基本的には Dependabot が上げてくるPR を毎日消化していく daily で動かしても、多くても1 日2,3PR 程度しか上がらない
溜まってしまったら、 BundleUpdate+LockDi で一括マージする Dependabot のPR はbot が自動で閉じてくれる Security update( 脆弱性対応) は特に高速にマージする 13
終わり 終わり , どっちも便利なので両方使ってい く。 チーム・リポジトリによっては、 Dependabot のsecurity update だけにする
だけにする というのも全然アリ。 14
ぜひ便利なので、 , 使ってみてくだ さい!。 導入の仕方とか使用感とかに感して、質問・相談あれば遠慮なくしてくださ い。 15
vividmuimui
nrslib
ssssota
antonarhipov
kntkymt
jnchito
youkidearitai
izumin5210
terryu16
yusukebe
gawa
naruse
cassininazir
mongodb
helmedeiros
rabernat
dougneiner
.png){kind=avatar}
helenjbeal
varn
emna__ayadi
62gerente
soysaucechin
katiecoart
danielanewman
