chore: add dependabot

[shimomo]

GitHub Actions の SHA 固定を自動更新するために dependabot.yml を追加しました。

Summary by CodeRabbit

• Chores
  • Dependabot を導入し、GitHub Actions の依存関係を週次で自動更新する設定を追加。
  • コミットメッセージに「deps」プレフィックスとスコープを付与し、更新履歴の可読性を向上。
  • アプリの機能やUIへの影響はありません。

[coderabbitai]

Walkthrough

GitHub Actions向けのDependabot設定ファイル(.github/dependabot.yml)を新規追加。リポジトリ直下を対象に、週次スケジュールで依存更新を提案し、コミットメッセージのプレフィックスを「deps」、スコープ含有を有効化。

Changes

Cohort / File(s)	Summary
Dependabot 設定追加 \.github/dependabot.yml	新規追加。package-ecosystem: github-actions、directory: "/", schedule: weekly、commit-message: prefix "deps" + scope を設定。

Sequence Diagram(s)

sequenceDiagram
    autonumber
    actor Maintainer as Maintainer
    participant GH as GitHub Repo
    participant DB as Dependabot
    participant PR as Pull Request

    rect rgba(230,240,255,0.6)
    note over DB: 週次スケジュールで起動
    DB->>GH: ワークフロー依存の最新バージョンをチェック
    DB-->>DB: .github/dependabot.yml を解釈（directory "/", ecosystem github-actions）
    end

    alt 更新が必要
        DB->>GH: ブランチ作成（depsスコープ付きコミットメッセージ）
        DB->>PR: 依存更新PRを作成
        PR->>Maintainer: レビュー/マージ要求
    else 変更なし
        DB-->>GH: 何もしない
    end

Loading

Estimated code review effort

🎯 1 (Trivial) | ⏱️ ~2 minutes

Poem

ぴょんと跳ねて deps を整える
月曜の鐘でボットが目を覚まし
小枝のようなPRをそっと差し出す
私は鼻をひくつかせ、レビューひと口
マージで畑はすっきり、にんじんも微笑む 🥕🐇

✨ Finishing Touches

🧪 Generate unit tests

• Create PR with unit tests
• Post copyable unit tests in a comment
• Commit unit tests in branch chore/add-dependabot

---

🪧 Tips

Chat

There are 3 ways to chat with CodeRabbit:

• Review comments: Directly reply to a review comment made by CodeRabbit. Example:
  • I pushed a fix in commit <commit_id>, please review it.
  • Open a follow-up GitHub issue for this discussion.
• Files and specific lines of code (under the "Files changed" tab): Tag @coderabbitai in a new review comment at the desired location with your query.
• PR comments: Tag @coderabbitai in a new PR comment to ask questions about the PR branch. For the best results, please provide a very specific query, as very limited context is provided in this mode. Examples:
  • @coderabbitai gather interesting stats about this repository and render them as a table. Additionally, render a pie chart showing the language distribution in the codebase.
  • @coderabbitai read the files in the src/scheduler package and generate a class diagram using mermaid and a README in the markdown format.

Support

Need help? Create a ticket on our support page for assistance with any issues or questions.

CodeRabbit Commands (Invoked using PR/Issue comments)

Type @coderabbitai help to get the list of available commands.

Other keywords and placeholders

• Add @coderabbitai ignore or @coderabbit ignore anywhere in the PR description to prevent this PR from being reviewed.
• Add @coderabbitai summary to generate the high-level summary at a specific location in the PR description.
• Add @coderabbitai anywhere in the PR title to generate the title automatically.

CodeRabbit Configuration File (.coderabbit.yaml)

• You can programmatically configure CodeRabbit by adding a .coderabbit.yaml file to the root of your repository.
• Please see the configuration documentation for more information.
• If your editor has YAML language server enabled, you can add the path at the top of this file to enable auto-completion and validation: # yaml-language-server: $schema=https://coderabbit.ai/integrations/schema.v2.json

Status, Documentation and Community

• Visit our Status Page to check the current availability of CodeRabbit.
• Visit our Documentation for detailed information on how to use CodeRabbit.
• Join our Discord Community to get help, request features, and share feedback.
• Follow us on X/Twitter for updates and announcements.

[coderabbitai]

Actionable comments posted: 0

🧹 Nitpick comments (4)

.github/dependabot.yml (4)

5-6: 実行の安定性向上のため曜日・時間・タイムゾーンを明示

週次だけだと実行タイミングが読みにくいので、曜日・時間・タイムゾーンを指定することを推奨します。

以下のように追記してください（例は JST の月曜 09:00）:

     schedule:
       interval: "weekly"
+      day: "monday"
+      time: "09:00"
+      timezone: "Asia/Tokyo"

---

7-9: コミットメッセージは良好。ラベルと PR 上限の付与で運用を安定化

prefix: "deps" と include: "scope" は意図に沿っています。通知ノイズを抑えるため、ラベル付けと同時オープン PR 上限を指定することを推奨します。

     commit-message:
       prefix: "deps"
       include: "scope"
+    labels:
+      - "dependencies"
+      - "github-actions"
+    open-pull-requests-limit: 5

---

2-9: （任意）軽微更新のグルーピングで PR のばらつきを削減

GitHub Actions の minor/patch をまとめるとレビュー負荷が下がります。

     directory: "/"
     schedule:
       interval: "weekly"
     commit-message:
       prefix: "deps"
       include: "scope"
+    groups:
+      gha-minor-patch:
+        patterns:
+          - "*"
+        update-types:
+          - "minor"
+          - "patch"

---

1-9: （微調整）YAML のクォートは省略可能

文字列に空白や特殊文字がないため、ダブルクォートは必須ではありません。スタイル統一の観点で外しても良いです。

📜 Review details

Configuration used: CodeRabbit UI

Review profile: CHILL

Plan: Pro

💡 Knowledge Base configuration:

• MCP integration is disabled by default for public repositories
• Jira integration is disabled by default for public repositories
• Linear integration is disabled by default for public repositories

You can enable these sources in your CodeRabbit configuration.

📥 Commits

Reviewing files that changed from the base of the PR and between 83a03bd and da4195f.

📒 Files selected for processing (1)

• .github/dependabot.yml (1 hunks)

🔇 Additional comments (4)

.github/dependabot.yml (4)

1-1: Dependabot v2 の宣言は適切です

version: 2 の配置と書式は問題ありません。

---

3-4: github-actions 対象とルート指定は妥当

Actions の更新対象として package-ecosystem: "github-actions" と directory: "/" の組み合わせは正しく、.github/workflows 配下のワークフローが検出されます。

---

3-5: Dependabot の target-branch 指定は不要です
デフォルトブランチが gh-pages のため、明示設定は不要です。

---

2-9: （再確認）.github/workflows 配下の uses: 参照がすべて 40 桁 SHA で固定されているか手動で確認してください。 提供スクリプトではワークフローファイルが検出されなかったため、拡張子（.yml/.yaml）やパスを見直し、未固定（例：@v4）の参照が残っていないか再度実行・確認をお願いします。