GitHub Packages を使用して、Private な社内用パッケージを用意している場合、デフォルトの Dependabot 設定では上手くバージョンが更新されません。
そこで、社内用の Private パッケージと Dependabot の組み合わせ方について紹介させていただきます。
<h1 id="github-packages-%E7%94%A8%E3%81%AE-personal-access-token-%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#github-packages-%E7%94%A8%E3%81%AE-personal-access-token-%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B" aria-hidden="true"></a> GitHub Packages 用の Personal Access Token を作成する</h1>
以下の手順で Personal Access Token を作成し、コピーします。
<ol>
<li>
<a href="https://github.com/settings/tokens/new" target="_blank" rel="nofollow noopener noreferrer">https://github.com/settings/tokens/new</a> へアクセスする</li>
<li>
<code>read:packages</code> のみをチェックして、<code>Generate token</code> をクリックする</li>
<li>生成されたトークンをコピーする</li>
</ol>
会社の Bot 的なユーザーを用意している場合は、そちらから、<code>read:packages</code> のトークンを作成しておくと管理しやすいです。
<h1 id="dependabot-secrets-%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#dependabot-secrets-%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B" aria-hidden="true"></a> Dependabot secrets を設定する</h1>
Organization のトップページへ移動し、Settings &gt; Security &gt; Secrets &gt; Dependabot へ移動し、<code>New organization secret</code> をクリックする。
Name を一旦 <code>GPR_READ_PACKAGES_TOKEN</code> とし、先程コピーしておいた、Personal Access Token を貼り付け、<code>Add secret</code> をクリックします。
<aside class="msg message">!<div class="msg-content">
今回の場合は、Organization secrets として作成しました。 
レポジトリ単体で問題無い場合は、Repository secrets として作成してください。
</div></aside>
<h1 id=".npmrc-%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#.npmrc-%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B" aria-hidden="true"></a> <code>.npmrc</code> を作成する</h1>
プロジェクトルートに、以下のように <code>.npmrc</code> を作成してください。
<div class="code-block-container">
<div class="code-block-filename-container"> .npmrc</div>
<pre><code>//npm.pkg.github.com/:_authToken=${GPR_READ_PACKAGES_TOKEN}
@example-inc:registry="https://npm.pkg.github.com"
</code></pre>
</div><h1 id="dependabot-%E3%81%AE%E8%A8%AD%E5%AE%9A%E3%82%92%E6%94%B9%E5%96%84%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#dependabot-%E3%81%AE%E8%A8%AD%E5%AE%9A%E3%82%92%E6%94%B9%E5%96%84%E3%81%99%E3%82%8B" aria-hidden="true"></a> Dependabot の設定を改善する</h1>
先程作成した、Secrets を読み込む形で、設定を変更します。
<div class="code-block-container">
<div class="code-block-filename-container"> .github/dependabot.yml</div>
<pre class="diff-highlight language-diff-yaml"><code class="diff-highlight language-diff-yaml">version: 2

+registries:
+ npm-github:
+ type: npm-registry
+ url: https://npm.pkg.github.com
+ token: ${{ secrets.GPR_READ_PACKAGES_TOKEN }}

updates:
 - package-ecosystem: "npm"
 directory: "/"
+ registries:
+ - npm-github
 schedule:
 interval: "daily"
</code></pre>
</div><h1 id="%E6%9C%80%E5%BE%8C%E3%81%AB">
<a class="header-anchor-link" href="#%E6%9C%80%E5%BE%8C%E3%81%AB" aria-hidden="true"></a> 最後に</h1>
後は問題無く、Dependabot が Private な社内用パッケージのバージョンを更新できるようになっているかと思います。
Renovate の場合は、Personal Access Token を秘匿したままで設定する方法がよくわかりませんでした。 
こうやって、GitHub 謹製のサービスを組み合わせていくと、それぞれの相性が良く、セキュアに保てて良いなと感じました。
こちらの記事が参考になれば幸いです。

GitHub Private Packages を Dependabot に更新させる

GitHub Packages 用の Personal Access Token を作成する

Discussion