Rails 7.2から新規アプリケーションにおいてDependabotがデフォルトで有効になりました。 
具体的には、`rails new`で生成される新規アプリにおいて、Dependabotの設定ファイルである`.github/dependabot.yml`が生成されるようになりました。

### Dependabotとは

Dependabotとは、GitHubのサービスであり、リポジトリで使用しているソフトウェアを最新の状態に保つことをサポートしてくれるサービスです。
[具体的なDependabotの機能としては、以下の3つがあります](https://docs.github.com/ja/code-security/getting-started/dependabot-quickstart-guide#dependabot-%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6)。

- Dependabot alerts — リポジトリで使っている依存関係に内在する脆弱性について通知します。
- Dependabot security updates — 使っている依存関係のうち、既知のセキュリティ脆弱性があるものを更新するための pull request を自動的に生成します。
- Dependabot version updates — 依存関係を最新に保つための pull request を自動的に発行します。

Dependabotの詳細な理解には[クイックスタート ガイド](https://docs.github.com/ja/code-security/getting-started/dependabot-quickstart-guide)などをご利用ください。


### 既存のRailsアプリでのDependabotへの対応方法

脆弱性の通知機能(Dependabot alerts)は、[GitHubのWebページから設定を変更するだけで利用できます](https://docs.github.com/ja/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts)。

脆弱性に関するpull requestの自動生成機能(Dependabot security updates)も、[GitHubのWebページから設定を変更するだけで利用できますが、詳細な設定が必要な場合はdependabot.ymlを通して行います](https://docs.github.com/ja/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates)。

脆弱性対応以外も含めて最新の状態にするためのpull requestを自動生成する機能（Dependabot version updates）は、[dependabot.ymlを通した設定が必要です](https://docs.github.com/ja/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates)。


### （参考）デフォルトのdependabot.ymlの内容

[このリンク先で閲覧できる`rails new`で生成される新規アプリのdependabot.ymlの設定内容](https://github.com/rails/rails/blob/main/railties/lib/rails/generators/rails/plugin/templates/github/dependabot.yml)は、既存アプリでも参考になるかもしれません。
このdependabot.ymlには、Rails 7.2の時点では、railsアプリで利用しているgemと[GitHub Actions(GitHubのCI)で利用しているアクション](https://docs.github.com/ja/code-security/dependabot/working-with-dependabot/keeping-your-actions-up-to-date-with-dependabot)を最新に保つための設定が記述されています。