В библиотеке JS, над которой я работаю, я получал некоторые PR от "depenabot", такие как этот .
Я понял, что они пытаются помочь путем обновления до более поздних версий зависимостей. Но странно то, что каждый PR обновляет только версию зависимости в yarn.lock - это не те библиотеки, от которых напрямую зависит моя библиотека.
Имеет ли это смысл принимать? Я действительно не рассматривал файл yarn.lock как нечто, стоящее самостоятельного управления.