Dependabotってスコープとか頻度とか設定できるんだね
GtiHubがボランティア(?)で勝手に動かしてくれてるだけのアンコントローラブルなものだと思ってた…w
dependabot.yml
を追加しておくと設定変えられるんですね。弊プロジェクトにはこんな記述がありました(一部抜粋)。
- package-ecosystem: "cargo" directory: "/" open-pull-requests-limit: 1 schedule: interval: "daily"
これでCargoのパッケージに対して1日1回スキャンしてくれると。 open-pull-requests-limit
はそのリポジトリ内にdependabotが最大いくつのPRを作れるか(デフォルトは5)という意味らしいです。PR一覧のページがdependabotの指摘で埋まらないように出来るんですね。
まぁそうなる前に対応しよう!
パッケージ(アーティファクト)のセキュリティに着目しようねっていう話をデベロッパーアドボケイト時代に山程していた私より。