#Dependabot
RSSフィードRenovateとDependabotを併用する場合、CODEOWNERSファイルを活用することでレビュワー設定を一元管理できる。
All Posts
News bits
Dependabot、npm依存のマルウェア検知
GitHub Advisory Database 照合による opt-in の malware アラート。CVE 系とは別カテゴリ、ルールによる絞り込み、有効化時の既存分バックフィル。現状 npm のみ。
Dependabot、pre-commitフックをサポート
Dependabotがpre-commitフックの依存関係自動アップデートをネイティブにサポート。リビジョンの更新やグループ化に対応。
Dependabotアラートのassignee割当が一般公開
write 権限ユーザーへの割当、code scanning・secret scanning アラートと同じ運用。REST API・Webhook、監査ログとメール通知。github.com は GHAS、GHES は3.22以降。
Dependabot OIDC認証対応
DependabotがOIDCを利用したプライベートレジストリ認証に対応。静的クレデンシャルの保存が不要に。
Dependabot Proxyオープンソース化
GitHub APIやプライベートパッケージレジストリへの認証を担うHTTPプロキシがMITライセンスでオープンソースとして公開。ソースコードのレビューやエコシステムのサポート追加が可能。
Dependabotのアラート却下時にレビューを必須化できる機能
Dependabotのアラートを閉じる(dismiss)際に、レビュープロセスを必須化できる「Delegated alert dismissal」機能がGitHub Code Security顧客向けに利用可能になった。 これにより、誤った操作や不正な却下を防ぎ、脆弱性対応の説明責任(Accountability)を強化できる。 本機能は github.com および GitHub Enterprise Server 3.21 で利用可能。 ### 参考文献
Dependabot security updates now support uv
Dependabotが、Pythonのパッケージマネージャーである uv のセキュリティアラートおよびアップデートに対応した。 uv の依存関係に脆弱性が検出された場合、Dependabotは自動的にセキュリティアラートを発行し、安全なバージョンへ更新するためのプルリクエストを作成できるようになった。 ### 参考文献
GitHub Dependabotコメントコマンドの非推奨化
GitHub Dependabotのプルリクエストコメントコマンドが2026年1月27日に非推奨化。@dependabot merge、@dependabot cancel merge、@dependabot squash and merge、@dependabot close、@dependabot reopenが対象。
GitHub Dependabotアラートのバッチ更新機能が一般提供開始
GitHubのDependabotアラートでバッチ更新機能が一般提供開始。組織全体で複数のDependabotアラートを一度に却下または再開可能になり、セキュリティチームと開発チームのアラート管理が効率化。従来は個別アラート管理のみだったが、チェックボックスで複数選択してバルク更新できるようになった。セキュリティマネージャー役割のメンバーと「Dependabotアラートを表示」権限を持つユーザーが利用可能で、手動作業の削減とワークフローの合理化を実現。 ### 参考文献
著者について
Hi there. I'm hrdtbs, a frontend expert and technical consultant. I started my career in the creative industry over 13 years ago, learning on the job as a 3DCG modeler and game engineer in the indie scene.
In 2015 I began working as a freelance web designer and engineer. I handled everything from design and development to operation and advertising, delivering comprehensive solutions for various clients.
In 2016 I joined Wemotion as CTO, where I built the engineering team from the ground up and led the development of core web and mobile applications for three years.
In 2019 I joined matsuri technologies as a Frontend Expert, and in 2020 I also began serving as a technical manager supporting streamers and content creators.
I'm so grateful to be working in this field, doing something that brings me so much joy. Thanks for stopping by.