状況

タイトルのとおりです。
自分は、Ruby on Railsで個人開発しているサービスのリポジトリにDependabotの以下の設定を入れています。
下記の機能を有効にしている状態です。

• 依存ライブラリの脆弱性アラートを受信
• アラート解決のために、Dependabotが自動的でPRを作成する

そのため、Dependabotのセキュリティアラートが出ると自動でPRが作成されるはずと思ったのですが、アラートが上がってきたのにPRが作成されていなかったので、あれ？と思いました。

結論

簡単なことだったんですが、まだ脆弱性が修正されたバージョンがリリースされていなかったことが理由でした。
Dependabotは、修正バージョンがリリース済みの場合に、そのバージョンに上げるようなPRを自動で作成してくれます。

アラートの内容。railsのバージョン7.0.4以下が対象になっています。

railsの最新バージョンはまだ7.0.4なので、バージョンを上げることによる自動修正はできない状態。