GtiHubがボランティア(?)で勝手に動かしてくれてるだけのアンコントローラブルなものだと思ってた…ｗ

docs.github.com

dependabot.yml を追加しておくと設定変えられるんですね。弊プロジェクトにはこんな記述がありました（一部抜粋）。

- package-ecosystem: "cargo"
  directory: "/"
  open-pull-requests-limit: 1
  schedule:
    interval: "daily"

これでCargoのパッケージに対して1日1回スキャンしてくれると。 open-pull-requests-limit はそのリポジトリ内にdependabotが最大いくつのPRを作れるか（デフォルトは5）という意味らしいです。PR一覧のページがdependabotの指摘で埋まらないように出来るんですね。

まぁそうなる前に対応しよう！

パッケージ（アーティファクト）のセキュリティに着目しようねっていう話をデベロッパーアドボケイト時代に山程していた私より。