我的天哪……Dependabot 现在免费了！比以往任何时候都更快地修复您的安全漏洞！

如果你想成为一名高效的程序员，你很可能希望利用其他人开发的库、插件和框架。站在巨人的肩膀上，何乐而不为呢？像 lodash 和 redux 这样的库已经发展多年，因此利用多年代码提交积累的高质量成果通常是明智之举。但不幸的是，这种共享也存在一个负面影响……那就是安全漏洞。

虽然NodeJS/NPM的反对者们声称漏洞很常见，但实际上并非如此，流行的库中确实会出现漏洞。不过，由于NPM提供的漏洞赏金，NPM Enterprise的付费用户能够比普通用户更早地发现这些漏洞。但你可能会问：“等等——我没有付费购买NPM Enterprise……那我怎么办？” 这时，Dependabot就派上用场了。

Dependabot 会自动向你的 GitHub 仓库提交 PR，并在单元测试通过后尝试合并该 PR。这意味着一旦漏洞修复程序发布，你的代码就会立即获得修复。

我崇尚活在当下，但同时也关注未来。事实上，这正是CubicleBuddha.com的核心理念之一。因此，我使用 Dependabot 来帮我以最少的工作量保持警惕。我曾听人说过，最好的程序员往往是最懒的——因为他们总能找到创造性的方法来减少工作量。玩笑归玩笑：时间宝贵，为什么不把更多的时间花在开发真正能帮助用户的功能上呢？

您应该考虑使用 Dependabot 的其他原因：

• 您最喜欢的 UI 组件库修复了一个辅助功能问题，现在您可以快速获得免费帮助。
• 你在一家大公司工作，想确保所有团队都使用同一版本的私有库。Dependabot 可以帮你节省大量的会议和管理工作。

既然 Dependabot 已经免费了（感谢 GitHub 和微软！），赶紧把它集成到你的代码库里，然后好好享受你的生活吧！:)