Skip to content

chore(renovate): adopt config:best-practices and pin actions to SHA#266

Merged
wadakatu merged 1 commit into
mainfrom
chore/renovate-best-practices
Jun 3, 2026
Merged

chore(renovate): adopt config:best-practices and pin actions to SHA#266
wadakatu merged 1 commit into
mainfrom
chore/renovate-best-practices

Conversation

@wadakatu

@wadakatu wadakatu commented Jun 3, 2026

Copy link
Copy Markdown
Collaborator

概要

renovate.json を Renovate 公式の config:best-practices に揃え、GitHub Actions の SHA(ダイジェスト)固定・自動マージ前の cool-down・major アクション更新の手動レビュー化を導入します。サプライチェーン対策と自動マージ運用の安全性を強化する設定変更で、ライブラリ機能には影響しません。

変更内容

config:recommended から config:best-practices へ切り替え、自動マージ構成に不足していた安全策(リリース熟成待ち・major 除外)を補い、example の自己参照を更新対象から除外しました。composer.lock 未コミット(ライブラリ配布)のため rangeStrategyautotype: library 判別で広いレンジ維持)のまま据え置きます。

  • preset: config:recommendedconfig:best-practices。実効するのは helpers:pinGitHubActionDigests(全 GitHub Actions を SHA 固定 / OpenSSF Scorecard 推奨)・:configMigrationabandonments:recommendeddocker:pinDigests / :pinDevDependencies / :maintainLockFilesWeekly / security:minimumReleaseAgeNpm は本リポジトリでは no-op
  • cool-down: minimumReleaseAge: "7 days" を追加。yank / 改ざんされた公開を即マージしないためのサプライチェーン対策(週次スケジュールと合わせ安定した週次バッチで更新)
  • GitHub Actions 自動マージの限定: matchUpdateTypesminor/patch/digest/pin/pinDigest に限定し、major は手動レビューへ。従来は updateType 無制限で major も自動マージ対象だったギャップを是正
  • 自己参照の除外: examples/pest/composer.json の path リンク自己参照 studio-design/openapi-contract-testingenabled: false で更新対象外に
  • 据え置き: rangeStrategyauto のまま)/ requirerequire-dev の patch・minor 自動マージルール / labelstimezoneschedule

検証

  • npx renovate-config-validator renovate.jsonConfig validated successfully
  • JSON 妥当性 → No error

レビュー時の注意

  • 初回実行で全 workflow の @v6@<sha> # v6 変換 PR が1本生成されます(pinDigest で自動マージ対象。気になる場合は初回のみ手動マージでも可)
  • PR タイトルチェック(pr-title.yml)は renovate[bot] を除外しませんが、Renovate デフォルトの chore(deps): / fix(deps): 出力は規約を満たすため互換です

関連情報

- switch preset config:recommended -> config:best-practices
  (pins all GitHub Actions to SHA digests, enables config migration
  and abandoned-package detection)
- add minimumReleaseAge: "7 days" cool-down before automerge to dodge
  yanked / tampered releases
- restrict GitHub Actions automerge to minor/patch/digest updates so
  major action bumps require manual review
- disable Renovate for the example's path-linked self reference
@wadakatu wadakatu merged commit 5399988 into main Jun 3, 2026
16 checks passed
@wadakatu wadakatu deleted the chore/renovate-best-practices branch June 3, 2026 17:06
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

None yet

Projects

None yet

Development

Successfully merging this pull request may close these issues.

1 participant