はじめに
GithubにソースコードをPushしておくと、そのリポジトリに脆弱性のあるパッケージが含まれているとGithubからAlertメールが届きます。
良くないことではありますが、すでに開発していないリポジトリだとコードを探してパッケージをアップデートして・・というのが面倒になることがあります。
その時に、Githubの automated security updates を使って、PR発行までをGithubにやってもらい、Githubの画面でマージするだけで対応することができます。
automated security updatesとは
「自動または手動のプルリクエストを使って、脆弱性のある依存対象を簡単に更新できます。」
ドキュメントはこちらです。
https://help.github.com/ja/github/managing-security-vulnerabilities/configuring-automated-security-updates
https://help.github.com/en/github/managing-security-vulnerabilities/configuring-automated-security-updates
設定方法
- 「View security alert」ボタンもしくは「Security」タブをクリックします。
- 「Automated security updates」をクリックし、チェックを入れます。
- Dependabotが動き出します。アップデートが可能であれば、PRを発行してきます。それをマージすればOKです。
対応できないものもある
他のパッケージが脆弱性のあるパッケージに依存しているなど、Dependabotが対応できないものもあります。
その場合は手動でアップデートが必要です。
動作確認は自己責任
当然ですが、アップデートに伴う動作確認は行われません。ソースコードを管理しているのであれば、masterブランチが動作することは確認する必要があると思います。
なので結局自分の環境下にリポジトリをcloneする必要がありますが、それでも楽だと思います。
まとめ
一つのサービスに依存しすぎるのも開発者の判断次第ではありますg、GithubがやってくれることはGithubに任せていくスタイルでやっていきたい。