サマリーとしては以下です。
今年の6月頃から取り組みを開始
初期はセキュリティチームで毎日トリアージ、泥臭くAlertの対応を行う
主要なRepositoryのAlertは一通り解消、一部は担当チームへの移譲等を行い継続的に維持できる状態へ
結果として半年間で500件弱のAlertをcloseし、残ってるAlertも対応方針が全て確定した状態になりました。この数が多いか少ないかはソースコードの規模感にも依存するので言及しませんが、この記事では小さいリソースで取り組みを始めて、全てのAlertをハンドリングした状態に半年でたどり着いた過程について赤裸々にお話しできればと思います。
GitHub Dependabot Alertを愚直に潰し込んだ話 - 10X Product Blog