Сохранение ваших зависимостей обновляется является одним из самых простых способов Держите программное обеспечение, которое вы создаете безопасную Отказ К сожалению, это также один из самых упущенных.
К счастью для нас, Github Teaceabot Может помочь с этим, автоматически обновляя ваши зависимости, чтобы вы могли потратить меньше времени обновления зависимостей и больше времени на строительство.
Как работает зависимость?
Давайте быстро посмотрим, как работает зависимость, а затем посмотрим, как включить и использовать его.
Первый шаг, зависимость Снижает вашу зависимость файлы и ищет любые устаревшие или небезопасные требования.
Затем, если какая-либо из ваших зависимостей устарело, Зацеплений открывает индивидуальные запросы на тягу обновить каждый из них.
Наконец, вы можете проверить, что ваши тесты проходят, сканируйте включенные замены ChangeLog и выпустить, и если все выглядит хорошо, объединить изменения обратно в свой код.
Как включить зависимость?
Включение зависимого зависимости действительно легко.
Во-первых, для Безопасность Вкладка вашего репозитория, затем нажмите на Включить тревоги для зависимости кнопка.
На этой точке появится другой экран:
Первая кнопка, которую вы должны нажимать на Включить зависимость На вашем репозитории я подчеркнул красный цвет. И технически это все, что вам нужно иметь в зависимости от включенного и поиска уязвимостей.
Тем не менее, мы хотим взять это шаг дальше Отказ
Если вы нажмете на другую кнопку, тот, кто выделяется зеленым, зависимость сможет Автоматически создавать запросы на тягу Для вас, чтобы исправить ваши уязвимые зависимости!
Это то, что мы хотим, не так ли? 👴🏻.
видео
Хорошо, достаточно говорить … Давайте посмотрим на это на практике.
Ссылка на видео: https://youtu.be/ijPoIfQWypQ
Выводы
Дайте мне знать в разделе «Комментарий» ниже, если вы хотите увидеть больше о зависимости или если у вас есть какие-либо вопросы об этом.
Также вы можете проверить Это видео здесь Где я говорю о Код github Сканирование (который дополняет зависимость во многих отношениях).
Вроде, поделиться и следуй за мной 🚀 Для получения дополнительной информации:
📽 YouTube ☕. Купи мне кофе 💖 Парреон 👕 Merch 👦🏻 Страница в Facebook 🐱💻 Github 👲🏻 Twitter 👴🏻 LinkedIn 🔉 Подкас
Оригинал: «https://dev.to/n3wt0n/fix-open-source-vulnerability-automatically-with-dependabot-4igm»