パブリックリポジトリにはGemのバージョンアップの通知が来るのに何故だろうと思った。
「Dependabot alerts private repository」で検索した結果 条件の中に「enabled read-only analysis by GitHub, dependency graph, and vulnerability alerts」とある。 親切にも操作手順まで書いてあった。