GitHubは2024年5月13日、リポジトリ内の依存関係を監視しチェックするツールDependabotの基本コンポーネントdependabot-coreを、MITライセンスにもとづくオープンソースとして利用可能にしたことを発表した。
📣 Dependabot is now open source!https://
— GitHub (@github) May 14, 2024t. co/ RXpQG38AiD
Dependabotは、リポジトリ内の依存関係のアップデートの有無を検知して、自動でプルリクエストを発行したり、アラートの通知を行うボットとして動作するツール。これにより、依存関係のパッケージによる既知の脆弱性を排除できる。2019年にGitHubが買収し、現在はGitHubから無償で一般提供されている。
dependabot-coreは、このうち依存関係の更新のプルリクエストを作成するロジックを定義するDependabotのコンポーネント。Ruby、JavaScript、Python、PHP、Dart、Elixir、Elm、Go、Rust、Java、.NETなど20以上のプログラミング言語で書かれたプロジェクトの依存関係を更新する自動プルリクエストを生成する。gitサブモジュール、Dockerファイル、Terraformファイルを更新することもできる。
これまではProsperity Public License 2.