<div dir="ltr"><div dir="ltr"><div dir="ltr"><div>Hey all,</div><div><br></div><div>The pre-release security checklist for the payments server (issue #1128) suggests that we hook up a dependency management service, like Greenkeeper, Dependabot, or Renovate.<br></div><div><br></div><div>Of the three options, Renovate is the most flexible. It lets us limit the total number of dependency update PRs open at a given time, limit the rate at which new PRs are created, and schedule how often it runs. Renovate is also monorepo-aware, and it can be configured to match or ignore files/directories within a repo.<br></div><div><br></div><div>In PR #1908[1], I've hooked up Renovate to run once a week, only open 2 PRs at a time, and only scan dependencies in the fxa-payments-server package. We can easily enable it for other packages in the monorepo in the future.</div><div><br></div><div>If anyone has comments or questions, feel free to reply to this thread or comment on the PR[1].</div><div><br></div><div>Cheers,</div><div><br></div><div>Jared</div><div><br></div><div>[1] <a href="https://github.com/mozilla/fxa/pull/1908">https://github.com/mozilla/fxa/pull/1908</a></div></div></div></div>