こんにちは！　ぷぐまです
本日は、少し前からある Dependabot の挙動変更に追従したことについてです

結論

最初に、結論から書いてしまいます
grouping 機能を使う際は、同時に 2 つ以上のルールにヒットするパッケージ更新がないようにしましょう

例)

groups:
  types:
    patterns:
      - '@types/*'
  linters-and-formatters:
    patterns:
      - '*eslint*'
      - '*prettier*'
  workbox:
    patterns:
      - 'workbox-*'
  patches:
    update-types:
      - 'patch'

    # ここで、 exclude する！
    exclude-patterns:
      - '@types/*'
      - '*eslint*'
      - '*prettier*'
      - 'workbox-*'

ここから詳しく

ここからは、背景となる情報を含め、どうしてこれを発見したのか、どうやってこれに対処したのかなどについて触れていきます

Dependabot とは？

一言でいえば、依存パッケージの更新を自動で行うためのツールです
一定のタイミングで自動でパッケージの更新をして、基本的には Pull Request (PR) を立てる形でユーザーに通知をし、確認を促してくれます
これにより、それぞれのパッケージ更新を常に追う必要がなくなり、通知が来たときに情報を見るという運用ができるようになります

他にも Renovate というツールもあります

Renovate Docs

Renovate documentation.

logo

事の発端

私が初めて気づいたのは、 12 月末のことでした
いつものことのように Dependabot からの Pull Request を消化していたときに、異変に気づきます

調査と対応

調査したところ、公式からの動作変更についての情報は見つけられませんでした
しかし、 Dependabot 側に issue が建てられている ことに気づきます

Dependabot updates are not being grouped · Issue #13919 · dependabot/dependabot-core

Is there an existing issue for this? I have searched the existing issues Package ecosystem npm Package manager version npm 11.6.2 Language version Node v24.12.0 Manifest location and content before…

GitHubdarren-dooley

どうやら、特定のパッケージ更新が 2 つ以上のグループに該当するという場面において挙動が怪しそうということでした

そのため、これを回避するように実際の設定に反映します
以下の PR で行いました
https://github.com/traPtitech/traQ_S-UI/pull/4963

dependabot で `workbox-* の pattern を追加 by Pugma · Pull Request #4963 · traPtitech/traQ_S-UI

概要なぜこの PR を入れたいのか workbox-* 関連の dependabot PR が別々に立っていたことこれらの パッケージが別ではなく、同一のバージョンで管理されていること 動作確認の手順CI の passUI 変更部分のスクリーンショットなしPR を出す前の確認事項 （機能の追加なら）追加することの合意がチームで取れている 取れていない場合はチェックを外…

GitHubtraPtitech

問題解消の確認

確認したところ、以下の画像のように PR が分割されて作られていました！
これで当初の目的を達成しました

さいごに

ここまでお読みくださってありがとうございました！
traQ のクライアント開発メンバーの一部では、これはデグレ (機能が想定されていない状態になっているの) ではないかと話をしていましたが、今のところこれを裏付ける情報は掴めていません
もし、何らかの手がかりをご存知でしたらコメントなどお寄せいただけるとありがたいです

明日は…？

明日は、 @t-oka さんの記事が投稿されます！
お楽しみに！