はじめに
ある日、GitHubからYour repository has dependencies with security vulnerabilitiesとメールが来て、確認するとこのような警告がされていました。
脆弱性があるとのことでSee security alertsを押すと、詳細な内容を確認できました。
原因
原因は利用していたライブラリSystem.Text.Encodings.Webのバージョン5.0.0に脆弱性があるとのことで最新版にバージョンアップすれば解決するそうです。
自動で解決
詳細を見ているとCreate automated security fixと自動で修正してくれるようなボタンが出てきます。(混み具合にもよるそうでちょっと時間がかかるみたいです)
※自動アップデートを有効にしていれば勝手にプルリクエストが作成されます。
すると下記のようなプルリクエストが作成されますので、これをマージするだけで脆弱性の警告を解消できます。
Dependabot Alertsとは
今回、脆弱性の通知から自動修正まで行ってくれた機能について調べてみるとDependabotの機能だそうで以下の記事がわかりやすかったです。
参考:
まとめ
- Dependabotを利用して、自動で脆弱性の検出から修正を行ってみた。
- ライブラリのバージョン更新を日々チェックするのは大変ですし、変更内容がプロジェクトに影響するのか確認するのもなかなか難しいので、このようなサービスは有効に活用していきたいですね。
