状況
タイトルのとおりです。
自分は、Ruby on Railsで個人開発しているサービスのリポジトリにDependabotの以下の設定を入れています。
下記の機能を有効にしている状態です。
- 依存ライブラリの脆弱性アラートを受信
- アラート解決のために、Dependabotが自動的でPRを作成する
そのため、Dependabotのセキュリティアラートが出ると自動でPRが作成されるはずと思ったのですが、アラートが上がってきたのにPRが作成されていなかったので、あれ?と思いました。
結論
簡単なことだったんですが、まだ脆弱性が修正されたバージョンがリリースされていなかったことが理由でした。
Dependabotは、修正バージョンがリリース済みの場合に、そのバージョンに上げるようなPRを自動で作成してくれます。
アラートの内容。railsのバージョン7.0.4以下が対象になっています。
railsの最新バージョンはまだ7.0.4なので、バージョンを上げることによる自動修正はできない状態。