Renovate

Renovate 已经变成了我们很多团队在依赖项版本管理工具的首选。虽然Dependabot仍然是 GitHub 仓库的一个安全默认选项，我们依然推荐评估 Renovate，因为它提供了更全面且可定制的方案。为了最大程度发挥 Renovate 的优势，应配置它来监控并更新所有依赖项，包括工具、基础设施以及私有或内部托管的依赖项。同时为了减少开发者的工作量，可以考虑自动合并依赖更新的 PR.

作为软件构建过程的一部分，自动监控和更新依赖项已成为整个行业的标准实践。这样一来，在开源软件包发布安全更新时，用户不必盲目猜测。多年来，Dependabot 一直是这一实践的标准工具，但 Renovate 在出现后逐渐成为许多团队的第一选择。他们发现 Renovate 更适合现代软件开发环境，其中可部署的系统不仅依赖于代码和库，还包括运行时工具、基础设施和第三方服务。除了代码之外，Renovate 还涵盖了对这些辅助工件的依赖性。我们的团队还发现 Renovate 通过配置和定制选项提供了更多的灵活性。尽管 Dependabot 仍然是一个安全的默认选择，并且能够更方便地与 GitHub 集成，但我们建议评估 Renovate，看看它是否可以进一步减轻开发人员手动维护应用生态系统安全的负担。