chore: add dependabot

[shimomo]

GitHub Actions の SHA 固定を自動更新するために dependabot.yml を追加しました。

Summary by CodeRabbit

• Chores
  • GitHub Actions の依存関係を自動更新する設定を追加し、週次でチェックと更新を実行します。
  • リポジトリ全体を対象にし、コミットメッセージは「deps」プレフィックスとスコープを含む形式に統一します。
  • 手動対応の負担を軽減し、依存関係の最新化と保守性を向上します。

[coderabbitai]

Walkthrough

Dependabot 設定ファイル .github/dependabot.yml を追加し、GitHub Actions 依存の自動更新を週次で実行するよう構成。バージョンは 2、対象はリポジトリルート。コミットメッセージに "deps" プレフィックスとスコープを付与。公開インターフェースの変更はなし。

Changes

Cohort / File(s)	Summary
Dependabot 構成 .github/dependabot.yml	Dependabot を有効化し、GitHub Actions 依存を週次で更新。commit-message に prefix: "deps" と scope を設定。manifest version: 2、対象ディレクトリはルート。

Estimated code review effort

🎯 1 (Trivial) | ⏱️ ~2 minutes

Poem

ぴょんと跳ねて deps を集める
週に一度の畑しごと、枝を整え整頓よ
ランナー風にアクション芽摘み
メッセージには「deps」印、忘れずに
うさぎのレポは今日もすっきり 🥕

✨ Finishing Touches

🧪 Generate unit tests

• Create PR with unit tests
• Post copyable unit tests in a comment
• Commit unit tests in branch chore/add-dependabot

---

🪧 Tips

Chat

There are 3 ways to chat with CodeRabbit:

• Review comments: Directly reply to a review comment made by CodeRabbit. Example:
  • I pushed a fix in commit <commit_id>, please review it.
  • Open a follow-up GitHub issue for this discussion.
• Files and specific lines of code (under the "Files changed" tab): Tag @coderabbitai in a new review comment at the desired location with your query.
• PR comments: Tag @coderabbitai in a new PR comment to ask questions about the PR branch. For the best results, please provide a very specific query, as very limited context is provided in this mode. Examples:
  • @coderabbitai gather interesting stats about this repository and render them as a table. Additionally, render a pie chart showing the language distribution in the codebase.
  • @coderabbitai read the files in the src/scheduler package and generate a class diagram using mermaid and a README in the markdown format.

Support

Need help? Create a ticket on our support page for assistance with any issues or questions.

CodeRabbit Commands (Invoked using PR/Issue comments)

Type @coderabbitai help to get the list of available commands.

Other keywords and placeholders

• Add @coderabbitai ignore or @coderabbit ignore anywhere in the PR description to prevent this PR from being reviewed.
• Add @coderabbitai summary to generate the high-level summary at a specific location in the PR description.
• Add @coderabbitai anywhere in the PR title to generate the title automatically.

CodeRabbit Configuration File (.coderabbit.yaml)

• You can programmatically configure CodeRabbit by adding a .coderabbit.yaml file to the root of your repository.
• Please see the configuration documentation for more information.
• If your editor has YAML language server enabled, you can add the path at the top of this file to enable auto-completion and validation: # yaml-language-server: $schema=https://coderabbit.ai/integrations/schema.v2.json

Status, Documentation and Community

• Visit our Status Page to check the current availability of CodeRabbit.
• Visit our Documentation for detailed information on how to use CodeRabbit.
• Join our Discord Community to get help, request features, and share feedback.
• Follow us on X/Twitter for updates and announcements.

[coderabbitai]

Actionable comments posted: 0

🧹 Nitpick comments (3)

.github/dependabot.yml (3)

5-6: 実行タイミングを明示（day/time/timezone の追加）

週次だとデフォルトの曜日・時刻になります。ノイズを抑えるため、曜日・時刻・タイムゾーンを固定することを推奨します。

     schedule:
       interval: "weekly"
+      day: "monday"
+      time: "05:00"
+      timezone: "UTC"

---

2-9: PR スパム抑止とトリアージ容易化（labels と上限）

Dependabot PR が増えすぎないように上限とラベル付けを追加するのがおすすめです。ターゲットブランチが main でない場合は適宜変更してください。

   - package-ecosystem: "github-actions"
     directory: "/"
     schedule:
       interval: "weekly"
     commit-message:
       prefix: "deps"
       include: "scope"
+    labels:
+      - "dependencies"
+      - "ci"
+    open-pull-requests-limit: 5
+    target-branch: "main"

---

2-9: アクション更新をまとめる（groups の活用・任意）

一度に複数の Action 更新が来る環境ではグルーピングで PR を 1 本に集約できます。運用ポリシーに合わせて有効化をご検討ください。

     commit-message:
       prefix: "deps"
       include: "scope"
+    groups:
+      github-actions:
+        patterns:
+          - "*"

📜 Review details

Configuration used: CodeRabbit UI

Review profile: CHILL

Plan: Pro

💡 Knowledge Base configuration:

• MCP integration is disabled by default for public repositories
• Jira integration is disabled by default for public repositories
• Linear integration is disabled by default for public repositories

You can enable these sources in your CodeRabbit configuration.

📥 Commits

Reviewing files that changed from the base of the PR and between 8bc967b and 94140bd.

📒 Files selected for processing (1)

• .github/dependabot.yml (1 hunks)

🔇 Additional comments (2)

.github/dependabot.yml (2)

1-9: 基本LGTM。

GitHub Actions 向けの Dependabot 設定として妥当です。CI の保守性向上に寄与します。

---

1-9: .github/workflows 以下の uses: がフルSHAで固定されているか手動確認
スクリプトでワークフローファイルが検出できなかったため、ワークフローが存在する場合は全ての uses: リファレンスを40文字のフルSHAで固定していることを手動でご確認ください。