GitHubは2024年5月13日、リポジトリ内の依存関係を監視しチェックするツールDependabotの基本コンポーネントdependabot-coreを、MITライセンスにもとづくオープンソースとして利用可能にしたことを発表した。

• dependabot-core is now open source with an MIT license -The Github Blog

📣 Dependabot is now open source!https://t.co/RXpQG38AiD

— GitHub (@github) May 14, 2024

Dependabotは、リポジトリ内の依存関係のアップデートの有無を検知して、自動でプルリクエストを発行したり、アラートの通知を行うボットとして動作するツール。これにより、依存関係のパッケージによる既知の脆弱性を排除できる。2019年にGitHubが買収し、現在はGitHubから無償で一般提供されている。

dependabot-coreは、このうち依存関係の更新のプルリクエストを作成するロジックを定義するDependabotのコンポーネント。Ruby、JavaScript、Python、PHP、Dart、Elixir、Elm、Go、Rust、Java、.NETなど20以上のプログラミング言語で書かれたプロジェクトの依存関係を更新する自動プルリクエストを生成する。gitサブモジュール、Dockerファイル、Terraformファイルを更新することもできる。

これまではProsperity Public License 2.0にもとづいた利用が可能で、過去数年間で300人を超える開発者からコントリビュートを受けてきた。今回MITライセンスによる公開となったことで、これまで以上に簡単に開発に参加できるようになる。