Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Dependabot vs BundleUpdate+LockDiff
Search
vividmuimui
June 04, 2019
Programming
0
56
Dependabot vs BundleUpdate+LockDiff
original slide:
https://vividmuimui.github.io/slides/dependabot_vs_lockdiff/slides/
vividmuimui
June 04, 2019
Tweet
Share
More Decks by vividmuimui
See All by vividmuimui
bundle-update.pdf
vividmuimui
0
88
あなたの知らないRuboCopの設定
vividmuimui
0
110
最近(2019/02/03)の #Ruby , #Rails , #Bundler 事情
vividmuimui
0
110
Jasperはいいぞ!
vividmuimui
0
38
Danger CI
vividmuimui
0
93
tigとかaliasなし生活を送ってみて改めてgitを覚えてる話
vividmuimui
0
83
lock_diff の紹介
vividmuimui
0
85
mysqlでの全文検索での検索の仕方入門
vividmuimui
0
92
Redashを(少しだけ)使いこなすためのTIPS
vividmuimui
0
140
Other Decks in Programming
See All in Programming
try! Swift Tokyo 初参加報告LT
hinakko2
0
220
Git Rebase
bkuhlmann
11
1.6k
Apache Hive 4 on Treasure Data
ryukobayashi
0
360
『Railsオワコン』と言われる時代に、なぜブルーモ証券はRailsを選ぶのか
free_world21
0
270
Node.js v22 で変わること
yosuke_furukawa
PRO
10
3.6k
Build Apps for iOS, Android & Desktop in 100% Kotlin With Compose Multiplatform (mDevCamp 2024)
zsmb
0
370
Fast JSX: Don't clone props object #28768
yossydev
1
140
OpenAPIを中心に考えるAPI開発入門 / Introduction to API Development with a Focus on OpenAPI
seike460
PRO
2
170
Zero Waste, Radical Magic, and Italian Graft – Quarkus Efficiency Secrets
hollycummins
0
230
if constexpr文はテンプレート世界のラムダ式である
faithandbrave
3
650
PHPの次期バージョンはこの時期どうなっているのか - Internalsの開発体制について - PHPカンファレンス小田原
youkidearitai
PRO
1
190
Git Lint
bkuhlmann
4
750
Featured
See All Featured
A Philosophy of Restraint
colly
197
16k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
40
4.4k
GraphQLの誤解/rethinking-graphql
sonatard
51
9.2k
Code Reviewing Like a Champion
maltzj
514
39k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
25
2.3k
YesSQL, Process and Tooling at Scale
rocio
164
13k
A Modern Web Designer's Workflow
chriscoyier
689
190k
Building Adaptive Systems
keathley
31
1.9k
Building a Scalable Design System with Sketch
lauravandoore
456
32k
How to train your dragon (web standard)
notwaldorf
73
5.2k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
274
13k
5 minutes of I Can Smell Your CMS
philhawksworth
199
19k
Transcript
Dependabot vs Dependabot vs BundleUpdate+LockDiff BundleUpdate+LockDiff 2019/06/05 社内LT 資料 @vividmuimui
1
話すこと 話すこと 最近導入された と、 これまで使っていた を比較 2
ざっくり用語 ざっくり用語 3
Dependabot Dependabot ライブラリのUpdate 自動で行ってPullReqest を上げてくれるサービス 最近、private リポでも完全に無料で使えるようになった https://dependabot.com/ 4
BundleUpdate+LockDiff BundleUpdate+LockDiff CircleCI でBundleUpdate(ruby でのライブラリの更新) をしてPullReqest を作れるツール 正確には この資料では長いので と書きます
以下の合わせ技+fork したもの 社内の色んな所で使われている vividmuimui/circleci-runner yhirano55/circleci-runner masutaka/circleci-bundle-update-pr vividmuimui/lock_di 5
ざっくり用語まとめ ざっくり用語まとめ Dependabot, BundleUpdate+LockDi どちらも、ライブラリの更新をして PullReqest を上げてくれる。 Dependabot はサービスなのでとても高機能。 BundleUpdate+LockDi
は長いこと社内で便利に使ってきたやつ。 6
簡単な機能比較 簡単な機能比較 7
Dependabot BundleUpdate+LockDi PR ライブラリごとに 1PR 1 つのPR で一括で更新 言語 Ruby,JS
などたくさん Ruby だけ ChangeLog Commits rubygems へのリン ク Vulnerabilities 高機能感 組み込みやすさ 参考PR Dependabot: BundleUpdate+LockDi : vividmuimui/rails_tutorial#44 vividmuimui/lock_di _sample#15 8
Dependabot Dependabot ライブラリごとにPR があがる 対応言語が多い 脆弱性対応の更新なのかわかる Compatibility が見れる bot が優秀
必要なくなったら自動で閉じたり、コンフリクトしてたら自動で rebase してくれたりする。 カスタマイズできる 全体通して圧倒的に高機能 PR がたくさん上がってマージしていくので、CI のキューが詰まりがち https://dependabot.com/#languages https://dependabot.com/docs/con g- le/ 9
BundleUpdate+LockDiff BundleUpdate+LockDiff CircleCI に簡単に組み込める Ruby のBundle update だけできる Bundle Update
してるだけなので、1PR で一括で更新が入る LockDi もそれなりに便利 Tachikoma + LockDi といった感じで組み合わせれば、CircleCi 以 外でも簡単に動く 普段自分たちが使うコマンドでupdate されるので、理解しやすい 基本的には してPR 作ってるだけなので。 Dependabot に比べると機能が少ない 個人のOSS 開発なので 10
どっちが良いか・どう使い どっちが良いか・どう使い 分けるか 分けるか 11
どっちが良いか・どう使い分けるか どっちが良いか・どう使い分けるか 現状両方使っている。チームの中で、それが良さそうとなった。 まだ、Dependabot を導入して1 週間も立ってないが、 Dependabot はDaily, BundleUpdate+LockDi はWeekly
で動かしているのが 良いリズムっぽい。 ちなみに、yarn(JS) に関してもDependabot だけでなく以下を併用して Weekly で更新されるようにしている vividmuimui/circleci-runner yhirano55/circleci-runner taichi/ci-yarn-upgrade 12
良いリズム 良いリズム 基本的には Dependabot が上げてくるPR を毎日消化していく daily で動かしても、多くても1 日2,3PR 程度しか上がらない
溜まってしまったら、 BundleUpdate+LockDi で一括マージする Dependabot のPR はbot が自動で閉じてくれる Security update( 脆弱性対応) は特に高速にマージする 13
終わり 終わり , どっちも便利なので両方使ってい く。 チーム・リポジトリによっては、 Dependabot のsecurity update だけにする
だけにする というのも全然アリ。 14
ぜひ便利なので、 , 使ってみてくだ さい!。 導入の仕方とか使用感とかに感して、質問・相談あれば遠慮なくしてくださ い。 15