renovate or dependabotを導入する

[naruse666]

それぞれメリデメあると嬉しい。

https://docs.github.com/ja/code-security/dependabot/working-with-dependabot

https://docs.renovatebot.com/

[naruse666]

アップデートしたいもの

• apps/api/*
• apps/web/*
• apps/docs/*
• .github/workflows/*

[waya279]

Renovate
◯メリット

1. カスタマイズ性: Renovateは高度にカスタマイズ可能で、更新頻度、ブランチ戦略、レビュー要求、特定の依存関係のスケジュールなど、細かく設定できます。
2. 広範なサポート: 多くの言語やパッケージマネージャーをサポートしています。npm、Maven、Dockerなど、多様な環境に対応しています。
3. 一括更新: 依存関係をまとめて更新するオプションがあり、複数の依存関係を一度に更新することが可能です。
4. Self-Hosted オプション: Self-hostedのオプションがあるため、自社のインフラ内で完全に管理することができます。
5. 自動PR作成：カスタマイズ（Branch選択🉑）、レビュー要求、グループ化（まとめて１つor個別）、テストのトリガー

◯デメリット:

1. 設定が複雑: カスタマイズ性が高い分、設定が複雑になることがあります。初めて使う場合、設定に時間がかかるかもしれません。
2. ドキュメントの量: ドキュメントは充実していますが、情報量が多く、必要な設定を理解するのに時間がかかることがあります。

Dependabot
◯メリット:

1. 簡単なセットアップ: DependabotはGitHubに統合されており、設定が非常に簡単で、すぐに利用を開始できます。
2. GitHubとの統合: GitHub ActionsやGitHubのセキュリティアラートとシームレスに統合されており、ワークフローがスムーズです。
3. 自動PR作成: 依存関係の更新があると、自動的にプルリクエスト（PR）を作成し、テストやレビューを促進します。
4. セキュリティ対応: セキュリティ脆弱性のある依存関係が検出された場合、優先的にアップデートPRを作成します。

◯デメリット:

1. カスタマイズの限界: Renovateに比べてカスタマイズ性が低く、詳細な設定を行いたい場合には限界があります。
2. サポートされている言語やエコシステムの制限: Dependabotはサポートするパッケージマネージャーの種類がRenovateに比べて少ないです。
3. Self-hosted の制限: DependabotはGitHubに強く依存しているため、他のプラットフォームやオンプレミスでの使用には適していません。

[waya279]

Renovateを選択！！
カスタマイズに優れているため！
今回のAPIではモデル選択できたり、２種類のAPIがあったりと幅広いためサポートが手厚い「Renovate」をチョイス。