この記事は秋の技術特集 2024の5記事目です。 カケハシではライブラリの更新検知にrenovateを利用しています。renovateは実行スケジュールの設定やパッチのグルーピングができるなどの機能が便利ですが、脆弱性データベースを持っていないため、検知された更新が脆弱性対応か否かがわかりません。 最終的にはすべて対応するべきですが、対応の優先順位づけのためどれが脆弱性対応パッチなのかわかると便利です。 GitHubでrenovateを使っている場合、Dependabot Alertsと組み合わせることで、Dependabotの脆弱性情報を利用してrenovateでも脆弱性を検知できます。 Dependabotシリーズについて Dependabotを有効化すると、renovateとDependabotで二重にPRが作られるのでは?と心配されるかもしれませんが、その問題はありません。費用もか