<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Dependabot on Tarragon</title><link>https://tarrragon.github.io/blog/tags/dependabot/</link><description>Recent content in Dependabot on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Mon, 18 May 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/dependabot/index.xml" rel="self" type="application/rss+xml"/><item><title>Dependabot</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/dependabot/</link><pubDate>Mon, 18 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/dependabot/</guid><description>&lt;p>Dependabot 是 GitHub 內建的 &lt;em>依賴更新自動化&lt;/em> 工具、原為 Dependabot Inc.、2019 年被 GitHub 收購後改為 GitHub native feature、目前 public repo 免費、private repo 部分功能 (Alerts / Security Update) 也免費、Version Update 跟進階治理納入 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &amp;#43; Secret Scanning &amp;#43; Dependency Review &amp;#43; Dependabot、跟 PR / Security tab 深度整合">GitHub Advanced Security&lt;/a> 套餐。它做三件事：&lt;em>Dependabot version updates&lt;/em>（定期 PR 升級依賴到最新 compatible 版本）、&lt;em>Dependabot security updates&lt;/em>（CVE 觸發的緊急 PR 升級到 fix version）、&lt;em>Dependabot alerts&lt;/em>（看到漏洞列在 Security tab、不一定自動 PR）。它的設計目標 &lt;em>狹窄而深&lt;/em> — 只做 GitHub repo 的依賴 PR 自動化、不做容器掃描、不做 IaC 掃描、不跨 SCM。&lt;/p>
&lt;h2 id="服務定位">服務定位&lt;/h2>
&lt;p>Dependabot 的核心定位是 &lt;em>把依賴升級從人工 ritual 變成 PR review 工作流&lt;/em>。它把「找新版」「跑 manifest update」「開 PR」「附 release note」自動化、剩下的 &lt;em>是否合併&lt;/em> 留給人類 / CI 判斷。這跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &amp;#43; Code (SAST) &amp;#43; Container &amp;#43; IaC &amp;#43; Cloud (CSPM)、Reachability analysis">Snyk&lt;/a> 看似重疊 — 兩者都會自動發升級 PR — 但 Snyk 是 &lt;em>跨 SCM + 多 stack&lt;/em>（GitHub / GitLab / Bitbucket、SCA + 容器 + IaC + Code）、Dependabot 是 &lt;em>GitHub-only + 純依賴&lt;/em>。多數組織選一個、混用兩者會在同一個 manifest 上各自開 PR、造成 noise。&lt;/p>
&lt;p>跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &amp;#43; Secret Scanning &amp;#43; Dependency Review &amp;#43; Dependabot、跟 PR / Security tab 深度整合">GHAS&lt;/a> 的關係比較細：Dependabot Alerts 跟 Security Updates 本身是 GHAS &lt;em>Dependabot&lt;/em> 子模組的核心、但功能上 &lt;em>Alerts 對所有 repo 免費&lt;/em>、Security Update 也免費自動發 PR、Version Update 也免費；GHAS 提供的是 &lt;em>Dependency Review&lt;/em>（PR-time gate、阻擋 PR 引入新漏洞依賴）、&lt;em>Security Overview&lt;/em>（org-wide dashboard）跟 enterprise-level 控制。Dependabot 是 &lt;em>background PR 工廠&lt;/em>、GHAS Dependency Review 是 &lt;em>PR-time blocker&lt;/em>、兩者互補不重疊。&lt;/p></description><content:encoded><![CDATA[<p>Dependabot 是 GitHub 內建的 <em>依賴更新自動化</em> 工具、原為 Dependabot Inc.、2019 年被 GitHub 收購後改為 GitHub native feature、目前 public repo 免費、private repo 部分功能 (Alerts / Security Update) 也免費、Version Update 跟進階治理納入 <a href="/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &#43; Secret Scanning &#43; Dependency Review &#43; Dependabot、跟 PR / Security tab 深度整合">GitHub Advanced Security</a> 套餐。它做三件事：<em>Dependabot version updates</em>（定期 PR 升級依賴到最新 compatible 版本）、<em>Dependabot security updates</em>（CVE 觸發的緊急 PR 升級到 fix version）、<em>Dependabot alerts</em>（看到漏洞列在 Security tab、不一定自動 PR）。它的設計目標 <em>狹窄而深</em> — 只做 GitHub repo 的依賴 PR 自動化、不做容器掃描、不做 IaC 掃描、不跨 SCM。</p>
<h2 id="服務定位">服務定位</h2>
<p>Dependabot 的核心定位是 <em>把依賴升級從人工 ritual 變成 PR review 工作流</em>。它把「找新版」「跑 manifest update」「開 PR」「附 release note」自動化、剩下的 <em>是否合併</em> 留給人類 / CI 判斷。這跟 <a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a> 看似重疊 — 兩者都會自動發升級 PR — 但 Snyk 是 <em>跨 SCM + 多 stack</em>（GitHub / GitLab / Bitbucket、SCA + 容器 + IaC + Code）、Dependabot 是 <em>GitHub-only + 純依賴</em>。多數組織選一個、混用兩者會在同一個 manifest 上各自開 PR、造成 noise。</p>
<p>跟 <a href="/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &#43; Secret Scanning &#43; Dependency Review &#43; Dependabot、跟 PR / Security tab 深度整合">GHAS</a> 的關係比較細：Dependabot Alerts 跟 Security Updates 本身是 GHAS <em>Dependabot</em> 子模組的核心、但功能上 <em>Alerts 對所有 repo 免費</em>、Security Update 也免費自動發 PR、Version Update 也免費；GHAS 提供的是 <em>Dependency Review</em>（PR-time gate、阻擋 PR 引入新漏洞依賴）、<em>Security Overview</em>（org-wide dashboard）跟 enterprise-level 控制。Dependabot 是 <em>background PR 工廠</em>、GHAS Dependency Review 是 <em>PR-time blocker</em>、兩者互補不重疊。</p>
<p>跟 <a href="https://docs.renovatebot.com/">Renovate</a>（Mend 維護的 OSS）的差異：Renovate 配置更彈性、跨 SCM、支援 ecosystem 數量多（含 Helm chart、Docker tag、ArgoCD 等）、Grouped Updates 規則更細；Dependabot 整合 GitHub 原生 UI（Security tab、Dependency graph、PR diff）更深、設定簡單。需要 <em>跨 SCM</em> 或 <em>Helm / ArgoCD / 自訂 ecosystem</em> 走 Renovate；單純 GitHub-only 加 npm / Maven / pip 等主流 ecosystem、Dependabot 配置成本更低。</p>
<h2 id="本章目標">本章目標</h2>
<p>讀完本頁、讀者能判斷：</p>
<ol>
<li>Dependabot 在 supply chain 防護裡承擔哪一段（背景 PR 升級）、哪些不在它責任內（容器掃描、IaC 掃描、PR-time gate）</li>
<li><code>dependabot.yml</code> 的關鍵配置面：ecosystem、schedule、open-pull-requests-limit、groups、reviewers</li>
<li>Version Update vs Security Update vs Alerts 三個功能何時開、PR noise 怎麼控制</li>
<li>Auto-merge 政策的邊界：哪種更新可以全自動、哪種要保留 human approval</li>
</ol>
<h2 id="最短判讀路徑">最短判讀路徑</h2>
<p>判斷一個 repo 的 Dependabot 配置是否健康、最少看四件事：</p>
<ul>
<li><strong><code>dependabot.yml</code> 配置</strong>：repo 是否有 <code>.github/dependabot.yml</code>、ecosystem 是否覆蓋所有 manifest（npm / Maven / pip / Docker / GitHub Actions / Terraform）、<code>directory</code> 路徑對不對（monorepo 各 sub-package 是否獨立配置）</li>
<li><strong>Update Schedule</strong>：<code>schedule.interval</code> 是 daily / weekly / monthly、<code>open-pull-requests-limit</code> 是否合理（預設 5、太低會卡住 backlog、太高會 PR noise）、Grouped Updates 是否啟用（減少 minor / patch PR 數量）</li>
<li><strong>Auto-merge 政策</strong>：branch protection 是否設「CI green + required reviewer」、auto-merge 是否限定 <em>patch + minor</em> 自動、<em>major</em> 強制 human review、production 跟 staging branch 是否有差異化規則</li>
<li><strong>Token 治理</strong>：repo secrets 是否被 Dependabot PR 誤用、Dependabot secrets（私有 registry credential）是否獨立配置、PR 觸發的 Actions 是否假設 read-only token</li>
</ul>
<p>四件事任一缺失、就是 <a href="/blog/backend/07-security-data-protection/supply-chain-integrity-and-artifact-trust/" data-link-title="7.12 供應鏈完整性與 Artifact 信任" data-link-desc="定義 build provenance、artifact 信任與交付鏈風險問題">Supply Chain Integrity</a> 邊界的待補項目。</p>
<h2 id="日常操作與決策形狀">日常操作與決策形狀</h2>
<p><strong><code>dependabot.yml</code> 是版控的配置檔</strong>：放在 <code>.github/dependabot.yml</code>、跟 manifest 同 repo、所有變更走 PR review。不在 GitHub UI 直接改 — UI 只能 <em>啟用 / 停用</em> Dependabot 本身、細節必須 commit 進 repo。Monorepo 結構（例：<code>/services/api</code>、<code>/services/web</code> 各自 <code>package.json</code>）每個 sub-package 寫一個 entry、<code>directory</code> 指到 sub-package 根目錄、<code>package-ecosystem</code> 標 manifest 類型。<code>schedule.interval</code> 一般 weekly 開始、daily 適合高活躍度團隊但 PR noise 高、monthly 適合穩定 lib 但 CVE 延遲風險高。</p>
<p><strong>Version Update vs Security Update 分開</strong>：Version Update 是 <em>定期掃 manifest 看有沒有 newer compatible 版本</em>、不分 CVE、是 hygiene 工作；Security Update 是 <em>Dependabot 偵測到 CVE 且 manifest 指到 vulnerable 範圍時自動發 PR 升級到 fix version</em>、是 incident 工作。多數組織開 Security Update 全 repo + 選擇性開 Version Update（核心服務開、archived repo 不開）— 避免 PR noise 淹沒緊急 PR。Security Update 預設啟用、Version Update 要 explicit 在 <code>dependabot.yml</code> 寫 entry 才會跑。</p>
<p><strong>Grouped Updates</strong>：2023 推出、單一 PR 含多個 minor / patch 升級（例：一個 PR 升 10 個 npm package）、PR 數量從 10 個降到 1 個。配置在 <code>dependabot.yml</code> 的 <code>groups</code> 區、可以按 dependency name pattern（例：<code>@types/*</code> 一組、<code>eslint*</code> 一組）或 update-type（<code>patch</code> / <code>minor</code> 分組）。Major version 仍分開 PR — 因 breaking change 風險、需要單獨 review。Grouped Updates 配 auto-merge 是 <em>minor / patch 全自動</em> 的標準配置。</p>
<p><strong>Auto-merge 是 PR 級、不是 commit 級</strong>：Dependabot 發 PR、搭配 GitHub branch protection 設「CI green + 1 approver」就 auto-merge — GitHub <code>gh pr merge --auto</code> 或 Actions workflow（<code>peter-evans/enable-pull-request-automerge</code>）都行。production 環境應該保留 human approval（至少對 major version）、staging / dev 可以全自動。常見模式：staging branch 全自動合（patch + minor）+ 自動 deploy；production branch 走 staging → cherry-pick / promote 流程、human approve。</p>
<p><strong>Reviewer / Assignee / Label 自動標記</strong>：<code>dependabot.yml</code> 的 <code>reviewers</code> / <code>assignees</code> / <code>labels</code> 欄位讓 Dependabot 開 PR 時自動標 reviewer 跟 label。實務上配 <code>labels: [&quot;dependencies&quot;]</code> 讓 Dependabot PR 在 PR list 跟一般 feature PR 分開、CI workflow 可以針對 <code>dependencies</code> label 跑特化 lint（例：跑完整 e2e、不只 unit test）。</p>
<p><strong>Token 治理</strong>：Dependabot PR 跑 GitHub Actions 時、<code>secrets.GITHUB_TOKEN</code> 是 <em>read-only</em>（GitHub 設計上限制、防 PR 觸發 supply chain attack）— 這代表 Dependabot PR 不能跑需要 write permission 的 job（推 image / 改 status / comment）。需要的話用 <code>pull_request_target</code> event（用 base branch 的 workflow + 完整 secrets）、但這也是 supply chain attack 高風險面、必須 <em>最少 permission</em>。私有 registry credential（npm private registry token、Maven private repo password）用 <em>Dependabot secrets</em>（org / repo level）配置、跟 GitHub Actions secrets 是 <em>不同 namespace</em>、不會互相讀到。</p>
<p><strong>跟 GHAS Dependency Review 搭配</strong>：<a href="/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &#43; Secret Scanning &#43; Dependency Review &#43; Dependabot、跟 PR / Security tab 深度整合">GHAS Dependency Review</a> 在 PR-time 看 manifest diff 阻擋 <em>引入新漏洞依賴</em>、Dependabot Security Update 在 background <em>升級舊有漏洞依賴</em>、兩個方向互補。production repo 標準配置：GHAS Dependency Review 設 high severity block + Dependabot Security Update 全開 + Dependabot Version Update 選擇性開。</p>
<h2 id="核心取捨表">核心取捨表</h2>
<table>
  <thead>
      <tr>
          <th>取捨維度</th>
          <th>Dependabot</th>
          <th>Snyk</th>
          <th>Renovate</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>SCM 範圍</td>
          <td>GitHub only</td>
          <td>GitHub / GitLab / Bitbucket / Azure DevOps</td>
          <td>GitHub / GitLab / Bitbucket / Azure DevOps / Gitea</td>
      </tr>
      <tr>
          <td>涵蓋面</td>
          <td>純依賴（SCA）</td>
          <td>SCA + 容器 + IaC + Code</td>
          <td>純依賴（SCA）+ Docker tag / Helm / 自訂</td>
      </tr>
      <tr>
          <td>Ecosystem 數量</td>
          <td>主流（npm / Maven / pip / Docker / Actions / Terraform 等 20+）</td>
          <td>主流相近 + 商業資料庫優先</td>
          <td>多（含 Helm / ArgoCD / preCommit / 自訂 regex）</td>
      </tr>
      <tr>
          <td>Grouped Updates</td>
          <td>有（2023+、按 pattern / update-type）</td>
          <td>有（按 type）</td>
          <td>有（規則最細、按 manager / depType / pattern）</td>
      </tr>
      <tr>
          <td>Auto-merge</td>
          <td>走 GitHub branch protection + auto-merge</td>
          <td>Snyk 自家 PR + 走 SCM auto-merge</td>
          <td>內建 <code>automerge</code> 配置、規則細</td>
      </tr>
      <tr>
          <td>漏洞資料庫</td>
          <td>GitHub Advisory Database（公開 + 私有）</td>
          <td>Snyk Intel（商業、揭露快、加入專屬 advisory）</td>
          <td>OSV / NVD / GitHub Advisory（聚合）</td>
      </tr>
      <tr>
          <td>PR 整合深度</td>
          <td>GitHub Security tab / Dependency graph 原生</td>
          <td>Snyk UI 為主、SCM PR 是延伸</td>
          <td>SCM PR 原生、Renovate dashboard issue 集中管理</td>
      </tr>
      <tr>
          <td>設定方式</td>
          <td><code>dependabot.yml</code>（簡單）</td>
          <td>UI + <code>.snyk</code> policy file（漏洞例外）</td>
          <td><code>renovate.json</code>（極彈性、配置複雜）</td>
      </tr>
      <tr>
          <td>商業成本</td>
          <td>GitHub 免費（Version Update / Security Update / Alerts 都免費）</td>
          <td>商業授權（含免費 tier、規模上來付費）</td>
          <td>OSS 免費、Mend 商業版加分析 dashboard</td>
      </tr>
      <tr>
          <td>適合場景</td>
          <td>GitHub-only + 純依賴 + 設定要簡單</td>
          <td>跨 SCM、要容器 / IaC、商業 advisory 加值</td>
          <td>跨 SCM 或要 Helm / ArgoCD / 自訂 ecosystem</td>
      </tr>
  </tbody>
</table>
<p>選 Dependabot 的核心訴求：<em>GitHub-only</em> + 只要依賴 PR 自動化、不要容器 / IaC scan、配置成本要低、整合 GitHub Security tab。要跨 SCM 或多 stack 走 Snyk、要彈性 ecosystem / Helm chart / ArgoCD 走 Renovate。混用 Dependabot + Snyk 對同一 manifest 自動 PR 會 noise、二選一。</p>
<h2 id="進階主題">進階主題</h2>
<p><strong>Multi-ecosystem repo</strong>：一個 repo 同時有 npm + Docker + Terraform + GitHub Actions、<code>dependabot.yml</code> 寫四個 entry、各自 schedule。實務常見配置：application 依賴（npm / pip）weekly、base image（Docker）weekly、IaC（Terraform provider）monthly、GitHub Actions（CI workflow）weekly。Actions ecosystem 要特別注意 — Dependabot 升級 <code>uses:</code> 指向的 action version、可以同時 pin commit hash（防 tag re-publish 攻擊）、但 pin hash 後 release note 看不到 — 取捨 <em>安全 vs 可讀性</em>。</p>
<p><strong>Private registry support</strong>：私有 npm registry（GitHub Packages / Artifactory / Nexus）、私有 Maven repo、私有 PyPI mirror、私有 container registry 都要在 <code>dependabot.yml</code> 配置 <code>registries</code> 區、credential 走 Dependabot secrets。Dependabot 從私有 registry 抓 package metadata 跟 release info、否則只能看 public registry、會誤判 internal lib 沒新版。Org-level Dependabot secrets 適合共用 credential、repo-level 適合特殊 credential 隔離。</p>
<p><strong>Self-hosted runner 隔離</strong>：Dependabot PR 觸發的 Actions 預設跑在 GitHub-hosted runner、跟 Dependabot 本身的 sandbox 不同。如果 CI 跑在 self-hosted runner（內網資源 / 大 build cache）、Dependabot PR 也會跑在 self-hosted runner — 要確認 runner 不會被 PR 注入的惡意 manifest 攻擊（npm install 跑 postinstall script 是經典攻擊路徑）。Mitigation：Dependabot PR 用 ephemeral runner（每次新 VM）、隔離 build cache、不掛 sensitive volume。</p>
<p><strong>Auto-merge 風險</strong>：auto-merge 加速合併、但也放寬 <em>攻擊者升級 dep 攻擊我</em> 的窗口。<a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/xz-backdoor-2024-open-source-supply-chain/" data-link-title="7.R7.2.4 XZ Backdoor 2024：開源供應鏈長期滲透" data-link-desc="開源維護鏈遭滲透後，為何會直接影響廣泛 Linux 發行流程">XZ Backdoor 2024</a> 的攻擊路徑就是攻擊者花兩年取得 upstream maintainer 信任、發 release 帶 backdoor — 如果下游 auto-merge 升級、攻擊就直達 production。Mitigation：major version 永不 auto-merge、critical infra dep（auth / crypto / network 函式庫）pin commit hash + 手動 review、auto-merge 範圍縮到 patch + minor + low-criticality dep。</p>
<p><strong>GitHub Actions 跟 Dependabot 互動</strong>：Dependabot PR 觸發的 workflow 預設 <code>GITHUB_TOKEN</code> 是 <em>read-only</em>、<code>secrets.*</code> 是 <em>empty</em>（Dependabot context）— 防止 PR 注入腳本竊取 secret。需要在 Dependabot PR 跑帶 secret 的 job、用 <code>pull_request_target</code> event（workflow 從 base branch 取、有完整 secret）— 但這會 <em>讀 PR 的 code 跑 workflow</em>、必須先 <code>checkout</code> base 然後最小化 PR code 的執行（不跑 PR 的 install script、只跑既有 lint）。</p>
<h2 id="排錯與失敗快速判讀">排錯與失敗快速判讀</h2>
<ul>
<li><strong>PR noise 淹沒緊急 PR</strong>：Version Update 全開 + 沒 Grouped Updates、一週 30+ PR — 啟用 <code>groups</code> 按 pattern 分組（<code>@types/*</code> / <code>eslint*</code> / <code>dev-dependencies</code>）、<code>open-pull-requests-limit</code> 設 5、archived repo 關 Version Update</li>
<li><strong>Security Update 沒發 PR</strong>：CVE 公告了但 Dependabot 沒動 — 確認 manifest 真的指到 vulnerable 範圍、<code>dependabot.yml</code> 沒 <code>ignore</code> 該 dependency、Security Updates 在 repo settings 是啟用、Dependency graph 有抓到該 manifest</li>
<li><strong>私有 registry 抓不到</strong>：Dependabot 在私有 npm / Maven repo 失敗 — <code>dependabot.yml</code> 配 <code>registries</code> 區、credential 進 Dependabot secrets（不是 Actions secrets）、URL 跟 token 範圍對齊</li>
<li><strong>Auto-merge 不觸發</strong>：PR 開了 CI 也綠了但沒合 — 確認 branch protection required check 跟 CI workflow 名稱對齊、<code>gh pr merge --auto</code> 在 PR comment / workflow 有觸發、reviewer count 達標</li>
<li><strong>Dependabot PR 跑 Actions 失敗</strong>：PR 的 workflow 報 permission denied — <code>GITHUB_TOKEN</code> 在 Dependabot context read-only、改用 <code>pull_request_target</code> 或拆 job（push secret 的部分跑在 merge 後 main branch event）</li>
<li><strong>Major version 被 auto-merge</strong>：規則沒寫對、major 也自動合進 production — <code>dependabot.yml</code> 的 <code>ignore</code> 加 <code>update-types: [&quot;version-update:semver-major&quot;]</code> 或 auto-merge 條件改 <code>${{ steps.metadata.outputs.update-type == 'version-update:semver-minor' }}</code></li>
<li><strong>Monorepo 漏掃</strong>：<code>/services/api/package.json</code> 沒掃 — <code>dependabot.yml</code> 每個 sub-package 寫一個 entry、<code>directory</code> 指到正確路徑、不是只在 root 一個 entry</li>
<li><strong>GitHub Actions ecosystem 升級拿掉 commit hash pin</strong>：原本 <code>uses: actions/checkout@a12b3c4</code> 被升成 <code>uses: actions/checkout@v5</code> — Dependabot 會 follow 既有 reference 風格、想要 hash pin 設 <code>dependabot.yml</code> 的 ecosystem-level config 但目前限制較多、實務常另用 <a href="https://github.com/suzuki-shunsuke/pinact">pinact</a> 或 Renovate 處理 Actions hash pinning</li>
</ul>
<h2 id="何時改走其他服務">何時改走其他服務</h2>
<table>
  <thead>
      <tr>
          <th>需求形狀</th>
          <th>改走</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>跨 SCM（GitLab / Bitbucket）</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a> / <a href="https://docs.renovatebot.com/">Renovate</a></td>
      </tr>
      <tr>
          <td>容器 / IaC scan</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a> / <a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a></td>
      </tr>
      <tr>
          <td>Helm / ArgoCD / 自訂 ecosystem</td>
          <td><a href="https://docs.renovatebot.com/">Renovate</a></td>
      </tr>
      <tr>
          <td>PR-time block 引入新漏洞</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &#43; Secret Scanning &#43; Dependency Review &#43; Dependabot、跟 PR / Security tab 深度整合">GHAS Dependency Review</a></td>
      </tr>
      <tr>
          <td>SAST / Code scanning</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &#43; Secret Scanning &#43; Dependency Review &#43; Dependabot、跟 PR / Security tab 深度整合">GHAS Code Scanning</a> / <a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk Code</a></td>
      </tr>
      <tr>
          <td>SBOM 生成 / 簽章</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/syft-grype/" data-link-title="Syft &#43; Grype" data-link-desc="Anchore 開源姐妹工具：Syft 產 SBOM (CycloneDX / SPDX) &#43; Grype scan 漏洞、Unix philosophy、cosign attestation 整合">Syft / Grype</a>（含 Sigstore cosign 整合段落）</td>
      </tr>
      <tr>
          <td>Secret scanning</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &#43; Secret Scanning &#43; Dependency Review &#43; Dependabot、跟 PR / Security tab 深度整合">GHAS Secret Scanning</a> / GitGuardian</td>
      </tr>
  </tbody>
</table>
<h2 id="不在本頁內的主題">不在本頁內的主題</h2>
<ul>
<li><code>dependabot.yml</code> 完整欄位 reference（看 <a href="https://docs.github.com/en/code-security/dependabot/dependabot-version-updates/configuration-options-for-the-dependabot.yml-file">GitHub 官方文件</a>）</li>
<li>GitHub Advisory Database 詳細運作（CVE 來源、curation 流程）</li>
<li>GHAS 其他模組（Code Scanning / Secret Scanning / Dependency Review）細節 — 看 <a href="/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &#43; Secret Scanning &#43; Dependency Review &#43; Dependabot、跟 PR / Security tab 深度整合">GHAS 頁</a></li>
<li>Renovate / Snyk 完整配置 — 看各自 vendor 頁</li>
<li>Container base image 升級的 multi-stage Dockerfile 處理</li>
</ul>
<h2 id="案例回寫">案例回寫</h2>
<p>Dependabot 沒有自身 vendor-level case、但在 supply chain case 中是 <em>標準 mitigation</em> 或 <em>風險面</em>：</p>
<table>
  <thead>
      <tr>
          <th>案例</th>
          <th>跟 Dependabot 的關係</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/log4shell-cve-2021-44228-component-chain/" data-link-title="7.R7.2.7 Log4Shell 2021：共用元件風險與修補鏈" data-link-desc="共用元件漏洞如何同步影響多服務，並迫使團隊建立依賴治理 workflow">Log4Shell CVE-2021-44228</a></td>
          <td>對照啟示 — Dependabot Security Update 在 Log4Shell 期間自動發 log4j-core 升級 PR、auto-merge 必須有 functional + security 雙重 CI verify、不能單看 build pass</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/github-oauth-2022-token-supply-chain/" data-link-title="7.R7.2.2 GitHub OAuth 2022：第三方 token 供應鏈風險" data-link-desc="第三方整合 token 被竊後，如何形成跨組織存取風險">GitHub OAuth 2022 Token Supply Chain</a></td>
          <td>對照啟示 — Dependabot 自己用 GitHub token、需確認 Dependabot PR 不能讀 production secrets（GitHub 設計上已 read-only / empty secrets）</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/circleci-2023-secrets-rotation/" data-link-title="7.R7.2.3 CircleCI 2023：CI secrets 輪替壓力" data-link-desc="工程端點入侵後，CI 平台 secrets 如何成為高風險擴散點">CircleCI 2023 Secrets Rotation</a></td>
          <td>對照啟示 — CI 出事時 Dependabot secrets（私有 registry credential）也要 rotate、不是只 rotate Actions secrets</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/xz-backdoor-2024-open-source-supply-chain/" data-link-title="7.R7.2.4 XZ Backdoor 2024：開源供應鏈長期滲透" data-link-desc="開源維護鏈遭滲透後，為何會直接影響廣泛 Linux 發行流程">XZ Backdoor 2024</a></td>
          <td>對照啟示 — Dependabot auto-merge 隱含 maintainer trust、攻擊者控制 upstream 後升級 = 自動進 production；major 不 auto-merge + 重要 dep pin commit hash</td>
      </tr>
  </tbody>
</table>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li>上游：<a href="/blog/backend/07-security-data-protection/supply-chain-integrity-and-artifact-trust/" data-link-title="7.12 供應鏈完整性與 Artifact 信任" data-link-desc="定義 build provenance、artifact 信任與交付鏈風險問題">7.12 供應鏈完整性與 Artifact 信任</a></li>
<li>平行：<a href="/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &#43; Secret Scanning &#43; Dependency Review &#43; Dependabot、跟 PR / Security tab 深度整合">GitHub Advanced Security</a>、<a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a></li>
<li>下游：<a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a>（容器 scan）、<a href="/blog/backend/07-security-data-protection/vendors/syft-grype/" data-link-title="Syft &#43; Grype" data-link-desc="Anchore 開源姐妹工具：Syft 產 SBOM (CycloneDX / SPDX) &#43; Grype scan 漏洞、Unix philosophy、cosign attestation 整合">Syft / Grype</a>（SBOM）</li>
<li>跨類：artifact 簽章（Sigstore cosign）見 <a href="/blog/backend/07-security-data-protection/vendors/syft-grype/" data-link-title="Syft &#43; Grype" data-link-desc="Anchore 開源姐妹工具：Syft 產 SBOM (CycloneDX / SPDX) &#43; Grype scan 漏洞、Unix philosophy、cosign attestation 整合">Syft / Grype 頁的 SBOM attestation 段</a></li>
<li>跨模組：<a href="/blog/backend/06-reliability/" data-link-title="模組六：可靠性驗證流程" data-link-desc="用 SRE 領域詞彙建問題節點、以服務級案例庫累積驗證脈絡，先建概念與案例庫再進實作交接">6 可靠性驗證流程</a>（Dependabot PR 進 release flow 的 gate 設計）、<a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a></li>
<li>官方：<a href="https://docs.github.com/en/code-security/dependabot">Dependabot Documentation</a></li>
</ul>
]]></content:encoded></item></channel></rss>