Dependabot - rikuyam's notebook

Dependabot

GitHub が提供する bot 系サービス。ソフトウェアの依存関係の更新を定期的に確認し、自動で PR を作成してくれる。

npm, pip, Docker, GitHub Actions などの様々な形式に対応している。

GitHub 上のリポジトリに対してであれば、基本無料で利用できる。(2024-05 時点。)

ドキュメント: Dependabot を使う - GitHub Docs

また、依存関係にセキュリティ上の脆弱性がある場合に開発者に通知する Dependabot alerts というサービスもある。

このアラートを契機に Dependabot が PR を作成する場合もある。