Dependabot で子の依存性まで見る

GitHub の Dependabot はデフォルトの設定だと明示的に指定した親の依存性を面倒みてくれるが、子の依存性までは面倒みてくれない。

これはオプションで解決できて dependency-type: all を指定すると良い。

dependency-type: all

All explicitly defined dependencies. For bundler, pip, composer, cargo, also the dependencies of direct dependencies.

Configuration options for dependency updates - GitHub Docs

version: 2
updates:
  - package-ecosystem: "composer"
    directory: "/"
    schedule:
      interval: "daily"
    allow:
      # Allow both direct and indirect updates for all packages
      - dependency-type: "all"

open-pull-requests-limit

子の依存性もみるとなるとPR作成数リミットにひっかかって作られなくなることがままあるのでその場合は、 open-pull-requests-limit を設定すればよろし。

version: 2
updates:
  - package-ecosystem: "pip"
    directory: "/"
    schedule:
      interval: "daily"
    # Allow up to 10 open pull requests for pip dependencies
    open-pull-requests-limit: 10

ref. https://docs.github.com/en/code-security/supply-chain-security/keeping-your-dependencies-updated-automatically/configuration-options-for-dependency-updates#open-pull-requests-limit