Aplikasi yang kita buat biasanya mempunyai dependency dengan aplikasi lain, jika banyak dependency yang kita pakai mungkin kita tidak bisa mengetahui jika dependency yang kita pakai ada versi yang baru, baik itu ada perbaikan ataupun mengatasi security issue

Agar memudahkan kita mengetahui jika ada dependency yang bisa di update, kita dapat menggunakan dependabot

Dependabot

Dependabot adalah salah satu tool yang dapat kita gunakan untuk mengupdate dependency, tool ini akan membuat sebuah pull request untuk memperbarui dependency

Kita dapat menggunakan dependabot secara gratis

Untuk mengaktifkan dependabot caranya sangatlah mudah, kita buka repository github kita lalu klik Settings dan akan ada menu di bagian kiri Security & analysis

Kita dapat mengaktifkan dependabot alerts dan dependabot security updates, seperti gambar dibawah ini

Nanti akan ada pull request yang dibuat oleh dependabot secara otomatis jika ada dependency yang dapat diupdate seperti

ini adalah contoh repository yang dipakai kali ini https://github.com/andrkrn/example-dependabot/

Konfigurasi Dependabot

Sebelumnya kita telah mengaktifkan dependabot pada github, itu menggunakan default configuration

Kita dapat mengubah configuration dependabot pada repository kita dengan cara menambahkan file .github/dependabot.yml ke github repository

Lebih lengkapnya ada di https://docs.github.com/en/code-security/supply-chain-security/keeping-your-dependencies-updated-automatically/configuration-options-for-dependency-updates

...cont