タイトル通りなのですが、共有を兼ねて、ブログに起こしておきます。 ドキュメントに、以下の文章があります。

Dependabot は、セマンティック バージョン管理を使用する脆弱な GitHub Actions に対してのみ、Dependabot alerts を作成します。 
SHA バージョン管理を使用する脆弱なアクションのアラートは受け取れません。 
SHA バージョン管理で GitHub Actions を使用する場合は、
リポジトリまたは組織に対して Dependabot version updates を有効にして、
使用するアクションを最新バージョンに更新しておくことをおすすめします。

link: Dependabot アラートについて - GitHub Docs

つまり、以下のように、digestで固定している場合は、脆弱性検知対象にはならないので、注意が必要です。 そのため、dependabot alert で脆弱性検知対象とするには、以下のdigestがsemverでいう何のバージョンなのか githubのdependency submission APIを使って、semverに直して依存バージョンを登録する必要がありそうです。

- uses: actions/checkout@83b7061638ee4956cf7545a6f7efe594e5ad0247

ドキュメントを見ていて気づいて、知らない人も多そうなので、ブログに起こしてみました。

終わり。