GitHub Dependabot が PR を作成しない / 動かないの主な原因は？

・`.github/dependabot.yml` の YAML 構文 / インデントが壊れて読み込めない・Settings → Code security で Dependabot version updates が無効になっている・`open-pull-requests-limit` のデフォルト 5 を既存 PR が消費し、新規が作られない・対象の `package-ecosystem` 名が公式値と違う（例: `npm` を `node` と書く）・private registry の認証を `registries:` に書いておらず private パッケージが更新対象外

GitHub Dependabot が PR を作成しない / 動かないの解決策は？

・Insights → Dependency graph → Dependabot のログでパースエラー有無を確認する・Settings → Code security → Dependabot version updates を Enable に切り替える・`open-pull-requests-limit: 10` のように上限を明示し、既存 Dependabot PR をマージ / クローズして空きを作る・`package-ecosystem` を公式の値（`npm` / `pip` / `gomod` / `docker` など）に揃える・`registries:` ブロックを追加し、token を Dependabot secrets として登録する

GitHub Dependabot が PR を作成しない / 動かない

Q: GitHub Dependabot が PR を作成しない / 動かない の主な原因は？

・`.github/dependabot.yml` の YAML 構文 / インデントが壊れて読み込めない ・Settings → Code security で Dependabot version updates が無効になっている ・`open-pull-requests-limit` のデフォルト 5 を既存 PR が消費し、新規が作られない ・対象の `package-ecosystem` 名が公式値と違う（例: `npm` を `node` と書く） ・private registry の認証を `registries:` に書いておらず private パッケージが更新対象外

Dependabot が PR を作らないのは、`.github/dependabot.yml` の構文ミス、Security 設定で機能が無効、PR 上限到達、`package-ecosystem` 名の誤りの 4 系統。
Insights → Dependency graph → Dependabot のログでまず実行結果を確認する。

#dependabot#security#dependencies#automation#yaml

公開: 2026-06-01

要約

Dependabot が PR を作らないときは、YAML 構文 → 機能の有効化 → PR 上限 → ecosystem 名 の順で切り分ける。
Insights → Dependency graph → Dependabot タブにエラー理由が出るので、勘で直す前にまずログを読む。

よくある原因

YAML が壊れている: タブ混在 / インデントずれ / 未クォートのコロンで解析失敗。
サイレントに無効化される
機能が無効: リポジトリ設定で Dependabot version updates 自体が OFF
PR 上限: open-pull-requests-limit のデフォルト 5 に達すると、新規アップデートがあっても作成されない
ecosystem 名違い: npm を node、pip を python などと書いて対象外になっている
private registry: 認証 token を registries: に書いていないと private パッケージは更新対象外

解決策

1. ログを確認する

GitHub の Insights → Dependency graph → Dependabot タブに各 ecosystem ごとの最終実行結果が出る。
エラーがあればここに表示される。

2. 最小構成で書き直す

# .github/dependabot.yml
version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
    open-pull-requests-limit: 10

package-ecosystem の正しい値は公式の Configuration optionsに列挙されている。

3. 機能を有効化する

Settings → Code security → Dependabot version updates を Enable に切り替える。
項目自体が出ない場合は、オーガニゼーション側のポリシーで無効化されている可能性がある。
version updates の概観は公式の About Dependabot version updatesを参照。

4. 上限を引き上げて既存 PR を整理する

open-pull-requests-limit: 10

既存の Dependabot PR を @dependabot rebase で更新するか、マージ / クローズして空きを作る。

5. private registry の認証を追加

registries:
  npm-github:
    type: npm-registry
    url: https://npm.pkg.github.com
    token: ${{secrets.GH_PACKAGES_TOKEN}}
 
updates:
  - package-ecosystem: "npm"
    directory: "/"
    registries:
      - npm-github
    schedule:
      interval: "weekly"

token は repo / org の Dependabot secrets として登録する（Actions Secrets とは別枠）。

要約