.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

詳細

タイトル

  • 脆弱性があると、Dependabot から、

    'Bump handlebars from X to Y in Z'

と言う Pull Request が送られてくる。

  • X : 現バージョン番号
  • Y : 新バージョン番号
  • Z : 対象フォルダ パス

対象

DefaultのBrunchに送られてくる模様。

内容

Dependabotなので、
基本は、依存関係管理ファイルの修正。

対応

マージする

  • 単純にマージして良いのか?と言う話。
  • 脆弱性の多くは、npm系で、
    • 手動操作も npm audit fix してるだけなら、
    • マージしても問題はないが、
    • ビルドとテストは必要と考える。

マージしない

  • 放置すると、Dependabotにより、Brunchが追加されていく。
  • Pull RequestをCloseしたり、BrunchをDeleteしたりすると、
    • Dependabotは、「このリソースについてはお知らせしません。」と言ってくる。
    • その後、BrunchをRestoreして、Pull RequestをReOpen?すると、Dependabotにより、
      • Brunchが、最新に更新される。
      • 若しくは、別途、修正がされていると、
        一時的に、Conflictの状態になるが、その後、
        Pull RequestがClose、BrunchがDeleteされる。

参考

GitHub Help

Dependabot


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2020-06-12 (金) 11:35:20 (32d)