chore(dependabot): set up Dependabot with 3-day cooldown for supply-chain safety

[tnj]

概要

本リポジトリに Dependabot version updates を新規導入し、あわせてサプライチェーン攻撃対策として 3日間の cooldown を設定します。新しく公開された依存バージョンへの更新 PR を 3 日間遅延させ、公開直後の悪意あるバージョンを取り込みにくくします。

設定内容

• 対象エコシステム: gradle (/**), github-actions
• スケジュール: weekly
• cooldown.default-days: 3（semver 区別なしの一律 3 日）
• ノイズ低減のため minor/patch 更新をグループ化（major は個別 PR）

注意

• 本リポジトリでは Dependabot を新規有効化するため、マージ後に依存更新 PR が新たに発生し始めます（cooldown により公開から 3 日後）。

🤖 Generated with Claude Code

[devin-ai-integration]

✅ Devin Review: No Issues Found

Devin Review analyzed this PR and found no bugs or issues to report.

[Copilot]

Pull request overview

Adds a new Dependabot configuration intended to reduce supply-chain risk by delaying updates for newly published dependency versions.

Changes:

• Introduces .github/dependabot.yml with weekly update checks for Gradle and GitHub Actions.
• Adds cooldown.default-days: 3 to delay new-version update PRs.
• Adds grouping rules (minor/patch grouping for Gradle; one group for GitHub Actions).

---

💡 Add Copilot custom instructions for smarter, more guided reviews. Learn how to get started.