<div dir="ltr"><span style="font-size:12.8px">El Rug, hola!</span><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">A friend and I just released <a href="https://dependabot.com/" target="_blank">Dependabot</a>, a tool (built in Ruby) for automatically keeping Ruby & JS dependencies up-to-date. We'd love any feedback -- does this match your ideal flow for keeping your Gemfile{,.lock} up-to-date? If not, what would you like to see it do differently?</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Currently it'll run each morning and create a GitHub PR for each dependency that needs bumping. We've seen other tools that submit one big PR for all updates, but we found those PRs much harder to review, and much risker to merge. That said, more PRs is a bit noisier, so there is a tradeoff.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Another thing to note: we won't proactively bump sub-dependencies - they only get bumped when the top-level dependency gets updated (e.g. <i>arel</i> will only get updated when <i>activerecord</i> or <i>rails</i> gets updated). I'd particularly like to hear thoughts on this one. If we did bump sub-dependencies, the volume of PRs would dramatically increase, and could be quite confusing ("what's loofah?! oh, a sub-sub-dependency of rails...."). However, not bumping means we could miss out on important patches.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">We also wrote up a few blog posts explaining:</div><div style="font-size:12.8px"><ul><li style="margin-left:15px"><a href="https://dependabot.com/blog/introducing-dependabot" target="_blank">what Dependabot is</a>,</li><li style="margin-left:15px"><a href="https://dependabot.com/blog/why-bother" target="_blank">why we think staying up-to-date is worthwhile</a>,</li><li style="margin-left:15px">and <a href="https://dependabot.com/blog/the-latest-dependency-version-is-probably-the-most-secure" target="_blank">the impact of staying up-to-date on responding to security issues</a><br></li></ul></div><div style="font-size:12.8px">Look forward to hearing your thoughts!</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Harry</div><div class="gmail-yj6qo gmail-ajU" style="margin:2px 0px 0px;font-size:12.8px"></div></div>