GitHubから脆弱性の通知が来た
GitHubに通知が来ていたので、何かな?とのぞいてみました。
We found potential security vulnerabilities in your dependencies.
Only the owner of this repository can see this message.
セキュリティーバルナラビリティーズ???脆弱性か!
どうやら私が作ったプログラムに脆弱性があるそうです!
See security alerts
ボタンを押してみたところ、色々と解説が載っていました。
原因は依存先パッケージ
私が作ったパッケージが依存している別のパッケージに脆弱性があるとのことで、最新版のパッケージを利用するように修正すれば、解決するそうです。
なるほどと思いつつ、眺めていたら、 Automated security fixes
というボタンが目に入りました。
え?自動で直してくれんの?
Botに直してもらう
勇気を振り絞ってボタンを押してみました。
そしたら、なんと、プルリクエストが送られてきました!
プルリクの発行者は dependabot
となっていて、どうやらBotのようです。
このプルリクをマージしたところ、無事に警告は消えました!
さいごに
Botがパッケージ管理までやってくれるなんてすごいですね!
以下のサイトを参考にしました。
https://help.github.com/en/articles/configuring-automated-security-fixes