メインコンテンツへスキップ
セキュリティパッチの適用やマイナーバージョンアップへの対応が後手に回るのを防ぎましょう。この定期自動化は毎週月曜の朝に実行され、使用しているすべてのパッケージマネージャーを対象にリポジトリ内の古い依存関係をスキャンし、更新後のバージョンでテストスイートを実行したうえで、整理されたPRを作成します。PRはリスク別にグループ化されるため、安全なものはすぐにマージでき、大きな更新は慎重に確認できます。

このテンプレートを利用する

Devin で 毎週の依存関係アップデート を開き、デフォルト設定で自動化を作成します。保存する前にカスタマイズすることもできます。
実際に試しながら進められる手順をお探しですか? 毎週の依存関係アップデートについては、ステップごとのチュートリアルをご覧ください。

この自動化でできること

固定的な dependabot の設定とは異なり、毎週の依存関係アップデート テンプレートでは、プロンプトベースで柔軟に制御できます。スキップする packages、特に注意が必要なもの、積極的にアップグレードするものを、すべて平易な英語で指定して Knowledge に保存できます。Devin が、testing、変更ログの要約、そして破壊的変更を伴う更新に必要な code changes まで対応します。

動作の仕組み

トリガー: スケジュールイベントrecurring
  • イベント: schedule:recurring
    • 条件:
      • rruleFREQ=WEEKLY;BYDAY=MO;BYHOUR=10;BYMINUTE=0 と一致する
Devinが行うこと: イベントの前提情報をすべて含むセッションを開始し、以下のプロンプトを実行し、必要に応じて失敗時に通知します。

前提条件

プロンプト例

このテンプレートには以下のプロンプトが含まれています。Use template をクリックした後に編集することも、そのまま使うこともできます。

セットアップ

  1. DevinでAutomations → Templatesを開きます。
  2. 毎週の依存関係アップデートをクリックします。作成画面が開き、このテンプレートの内容があらかじめ入力された状態になります。
  3. 必要な統合を設定し、まだであればMCPサーバーをインストールします。
  4. トリガー条件内のプレースホルダー値を置き換えます (たとえば、your-org/your-repoを実際のリポジトリに差し替えます) 。
  5. プロンプトを確認し、チームの言葉遣い、慣習、ガードレールに合わせて調整します。
  6. Create automationをクリックします。
ほとんどの自動化テンプレートには、初期ロールアウト時のコストを抑えるための推奨ACU上限と実行回数上限が含まれています。自動化の挙動に十分な確信が持てるまではそのままにしておき、その後、ワークロードに合わせて引き上げてください。

このテンプレートを利用すべきケース

  • Dependabot の通知が多すぎて、最新状態の維持をあきらめてしまったチーム
  • 1 回のアップグレードが多数のパッケージに影響するモノレポ
  • 脆弱性への先回りしたパッチ適用が必要な、セキュリティ重視のプロジェクト
  • 長期間運用しているレガシーサービスを、サポート対象のランタイムバージョンに維持したい場合

カスタマイズのアイデア

  • フロントエンドとバックエンドを別々のスケジュールに分けて、焦点を絞ったPRにする
  • 特定のパッケージを固定する Knowledge エントリを追加する (例: 「React は v18 を超えてアップグレードしない」)
  • スケジュールを切り替える (毎日、隔週、毎月)
  • 既存のCIと連携して、回帰テストを包括的にカバーする

関連項目