Github 给我提了一个 PR ~

昨天在 Github 上收到了应该是人生第一个 PR。

定睛一看，是我托管到 Github Page 的个人博客仓库，而且是一个私有仓库，理论上不应该收到 PR 。点进去仔细看了一下。

我的博客 https://luyao.tech 是基于 Hexo 搭建的，刚换了一个酷炫的主题，你可以去瞅瞅。

这个 PR 帮我升级了一个渲染 markdown 的 hexo 插件，阐述了原因，展示了 Release notes 和 Commits，并且告诉我 100% 可靠。让我忍不住就 Merge 了它的 PR ，然后通过 Github Actions 自动更新了博客。

提交 PR 的是一个叫 dependabot 的用户，听这名字就像个机器人，毕竟谁没见过 Telegram bot 嘛。点进主页一看，果然是。

https://docs.github.com/en/code-security/supply-chain-security/managing-vulnerabilities-in-your-projects-dependencies/configuring-dependabot-security-updates

这是官方介绍。简单描述一下，Dependabot 可以帮助你安全更新有漏洞的依赖项，Github 自动为符合这些前提条件的每个仓库启用 Dependabot 安全更新。

• 仓库不是 fork 的
• 仓库不是 archived
• 仓库是公共的。开启了 Dependency graph，Dependabot alerts，Dependabot security updates 的私有仓库也可以。
• 仓库包含 GitHub 支持的依赖项清单文件

另外，你也可以在单个仓库的 Settings -> Security & analysis 页面进行配置。

当然，Dependabot 是开源的。主页在这里：https://github.com/dependabot 。感兴趣的同学可以看看具体的实现原理。

希望在微软加持下，有朝一日，Github 能帮我自动修 Bug ~