Renovate tem se tornado a ferramenta preferida por muitos de nossos times que buscam uma abordagem proativa para gerenciar versões de dependências. Embora o Dependabot continue sendo uma escolha segura e padrão para repositórios hospedados no GitHub, recomendamos avaliar o Renovate como uma solução mais abrangente e personalizável. Para aproveitar ao máximo os benefícios do Renovate, configure-o para monitorar e atualizar todas as dependências, incluindo ferramentas, infraestrutura e dependências privadas ou hospedadas internamente. Para reduzir a carga operacional das desenvolvedoras, considere adotar o merge automático de PRs com atualizações de dependências.
O monitoramento e a atualização automáticos de dependências como parte do processo de compilação de software se tornaram prática padrão em todo o setor. Isso elimina as incertezas de se manter atualizado com as atualizações de segurança para pacotes de código aberto assim que são lançadas. Por muitos anos, o Dependabot foi a ferramenta padrão para essa prática, mas o Renovate se tornou a ferramenta preferida para muitas de nossas equipes. Elas consideram o Renovate mais adequado ao ambiente moderno de desenvolvimento de software, onde um sistema implantável depende não apenas de código e bibliotecas, mas também abrange ferramentas de tempo de execução, infraestrutura e serviços de terceiros. O Renovate cobre dependências desses artefatos auxiliares, além do código. Nossas equipes também descobriram que o Renovate oferece mais flexibilidade por meio de opções de configuração e personalização. Embora o Dependabot permaneça como uma opção padrão segura e esteja convenientemente integrado ao GitHub, recomendamos avaliar o Renovate para ver se ele pode reduzir ainda mais o encargo manual das pessoas desenvolvedoras para manter seus ecossistemas de aplicativos seguros e protegidos.
