'Bump handlebars from X to Y in Z' と言う PR

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • GitHub Dependabot
  • Github - Pull Request関連

目次 †

概要 †

• Dependabotによる脆弱性の修正が含まれる Pull Request。
• 例 : https://github.com/OpenTouryoProject/FrontendTemplates/pulls

詳細 †

タイトル †

• 脆弱性があると、Dependabot から、

  'Bump handlebars from X to Y in Z'

と言う Pull Request が送られてくる。

• X : 現バージョン番号
• Y : 新バージョン番号
• Z : 対象フォルダ パス

対象 †

DefaultのBrunchに送られてくる模様。

内容 †

Dependabotなので、基本は、依存関係管理ファイルの修正。

対応 †

マージする †

• 単純にマージして良いのか？と言う話。

• 脆弱性の多くは、npm系で、
  • 手動操作も npm audit fix してるだけなら、
  • マージしても問題はないが、
  • ビルドとテストは必要と考える。

マージしない †

• 放置すると、Dependabotにより、Brunchが追加されていく。
• Pull RequestをCloseしたり、BrunchをDeleteしたりすると、
  • Dependabotは、「このリソースについてはお知らせしません。」と言ってくる。
  • その後、BrunchをRestoreして、Pull RequestをReOpen?すると、Dependabotにより、
    • Brunchが、最新に更新される。
    • 若しくは、別途、修正がされていると、
      一時的に、Conflictの状態になるが、その後、
      Pull RequestがClose、BrunchがDeleteされる。