Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Dependabot vs BundleUpdate+LockDiff
Search
vividmuimui
June 04, 2019
Programming
0
87
Dependabot vs BundleUpdate+LockDiff
original slide:
https://vividmuimui.github.io/slides/dependabot_vs_lockdiff/slides/
vividmuimui
June 04, 2019
Tweet
Share
More Decks by vividmuimui
See All by vividmuimui
あるチームでの技術選定で考えてること(外部向けに修正版)
vividmuimui
0
10
開発組織まわりで最近考えているあれこれ
vividmuimui
0
20
bundle-update.pdf
vividmuimui
0
120
あなたの知らないRuboCopの設定
vividmuimui
0
230
最近(2019/02/03)の #Ruby , #Rails , #Bundler 事情
vividmuimui
0
160
Jasperはいいぞ!
vividmuimui
0
49
Danger CI
vividmuimui
0
110
tigとかaliasなし生活を送ってみて改めてgitを覚えてる話
vividmuimui
0
120
lock_diff の紹介
vividmuimui
0
100
Other Decks in Programming
See All in Programming
AIコーディングの理想と現実 2026 | AI Coding: Expectations vs. Reality 2026
tomohisa
0
1.2k
CSC307 Lecture 13
javiergs
PRO
0
320
go directiveを最新にしすぎないで欲しい話──あるいは、Go 1.26からgo mod initで作られるgo directiveの値が変わる話 / Go 1.26 リリースパーティ
arthur1
2
540
Cyrius ーLinux非依存にコンテナをネイティブ実行する専用OSー
n4mlz
0
130
ロボットのための工場に灯りは要らない
watany
10
2.6k
New in Go 1.26 Implementing go fix in product development
sunecosuri
0
420
メタプログラミングで実現する「コードを仕様にする」仕組み/nikkei-tech-talk43
nikkei_engineer_recruiting
0
170
ベクトル検索のフィルタを用いた機械学習モデルとの統合 / python-meetup-fukuoka-06-vector-attr
monochromegane
2
390
GC言語のWasm化とComponent Modelサポートの実践と課題 - Scalaの場合
tanishiking
0
110
new(1.26) ← これすき / kamakura.go #8
utgwkk
0
2.2k
守る「だけ」の優しいEMを抜けて、 事業とチームを両方見る視点を身につけた話
maroon8021
3
760
AI主導でFastAPIのWebサービスを作るときに 人間が構造化すべき境界線
okajun35
0
700
Featured
See All Featured
Done Done
chrislema
186
16k
What does AI have to do with Human Rights?
axbom
PRO
1
2k
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
techseoconnect
PRO
0
110
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
cargoodrich
3
120
Optimising Largest Contentful Paint
csswizardry
37
3.6k
Embracing the Ebb and Flow
colly
88
5k
Unsuck your backbone
ammeep
672
58k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
marketingsoph
0
110
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
122
21k
We Are The Robots
honzajavorek
0
190
Joys of Absence: A Defence of Solitary Play
codingconduct
1
300
The Power of CSS Pseudo Elements
geoffreycrofte
82
6.2k
Transcript
Dependabot vs Dependabot vs BundleUpdate+LockDiff BundleUpdate+LockDiff 2019/06/05 社内LT 資料 @vividmuimui
1
話すこと 話すこと 最近導入された と、 これまで使っていた を比較 2
ざっくり用語 ざっくり用語 3
Dependabot Dependabot ライブラリのUpdate 自動で行ってPullReqest を上げてくれるサービス 最近、private リポでも完全に無料で使えるようになった https://dependabot.com/ 4
BundleUpdate+LockDiff BundleUpdate+LockDiff CircleCI でBundleUpdate(ruby でのライブラリの更新) をしてPullReqest を作れるツール 正確には この資料では長いので と書きます
以下の合わせ技+fork したもの 社内の色んな所で使われている vividmuimui/circleci-runner yhirano55/circleci-runner masutaka/circleci-bundle-update-pr vividmuimui/lock_di 5
ざっくり用語まとめ ざっくり用語まとめ Dependabot, BundleUpdate+LockDi どちらも、ライブラリの更新をして PullReqest を上げてくれる。 Dependabot はサービスなのでとても高機能。 BundleUpdate+LockDi
は長いこと社内で便利に使ってきたやつ。 6
簡単な機能比較 簡単な機能比較 7
Dependabot BundleUpdate+LockDi PR ライブラリごとに 1PR 1 つのPR で一括で更新 言語 Ruby,JS
などたくさん Ruby だけ ChangeLog Commits rubygems へのリン ク Vulnerabilities 高機能感 組み込みやすさ 参考PR Dependabot: BundleUpdate+LockDi : vividmuimui/rails_tutorial#44 vividmuimui/lock_di _sample#15 8
Dependabot Dependabot ライブラリごとにPR があがる 対応言語が多い 脆弱性対応の更新なのかわかる Compatibility が見れる bot が優秀
必要なくなったら自動で閉じたり、コンフリクトしてたら自動で rebase してくれたりする。 カスタマイズできる 全体通して圧倒的に高機能 PR がたくさん上がってマージしていくので、CI のキューが詰まりがち https://dependabot.com/#languages https://dependabot.com/docs/con g- le/ 9
BundleUpdate+LockDiff BundleUpdate+LockDiff CircleCI に簡単に組み込める Ruby のBundle update だけできる Bundle Update
してるだけなので、1PR で一括で更新が入る LockDi もそれなりに便利 Tachikoma + LockDi といった感じで組み合わせれば、CircleCi 以 外でも簡単に動く 普段自分たちが使うコマンドでupdate されるので、理解しやすい 基本的には してPR 作ってるだけなので。 Dependabot に比べると機能が少ない 個人のOSS 開発なので 10
どっちが良いか・どう使い どっちが良いか・どう使い 分けるか 分けるか 11
どっちが良いか・どう使い分けるか どっちが良いか・どう使い分けるか 現状両方使っている。チームの中で、それが良さそうとなった。 まだ、Dependabot を導入して1 週間も立ってないが、 Dependabot はDaily, BundleUpdate+LockDi はWeekly
で動かしているのが 良いリズムっぽい。 ちなみに、yarn(JS) に関してもDependabot だけでなく以下を併用して Weekly で更新されるようにしている vividmuimui/circleci-runner yhirano55/circleci-runner taichi/ci-yarn-upgrade 12
良いリズム 良いリズム 基本的には Dependabot が上げてくるPR を毎日消化していく daily で動かしても、多くても1 日2,3PR 程度しか上がらない
溜まってしまったら、 BundleUpdate+LockDi で一括マージする Dependabot のPR はbot が自動で閉じてくれる Security update( 脆弱性対応) は特に高速にマージする 13
終わり 終わり , どっちも便利なので両方使ってい く。 チーム・リポジトリによっては、 Dependabot のsecurity update だけにする
だけにする というのも全然アリ。 14
ぜひ便利なので、 , 使ってみてくだ さい!。 導入の仕方とか使用感とかに感して、質問・相談あれば遠慮なくしてくださ い。 15
vividmuimui
tomohisa
javiergs
.jpeg){kind=avatar}
arthur1
n4mlz
watany
sunecosuri
nikkei_engineer_recruiting
monochromegane
tanishiking
utgwkk
maroon8021
okajun35
chrislema
axbom
techseoconnect
cargoodrich
csswizardry
colly
ammeep
marketingsoph
panda_program
honzajavorek
codingconduct
geoffreycrofte
