![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>GitHub Dependabot]] -戻る --[[GitHub Dependabot]] --[[Github - Pull Request関連]] *目次 [#le7d0141] #contents *概要 [#r2089675] -[[Dependabot>GitHub Dependabot]]による脆弱性の修正が含まれる Pull Request。 -例 : https://github.com/OpenTouryoProject/FrontendTemplates/pulls *詳細 [#r6fe01db] **タイトル [#w51be533] -脆弱性があると、[[Dependabot>GitHub Dependabot]] から、 >'Bump handlebars from X to Y in Z' >と言う Pull Request が送られてくる。 --X : 現バージョン番号 --Y : 新バージョン番号 --Z : 対象フォルダ パス **対象 [#a92113f6] DefaultのBrunchに送られてくる模様。 **内容 [#k248457b] [[Dependabot>GitHub Dependabot]]なので、基本は、依存関係管理ファイルの修正。 **対応 [#ed373636] ***マージする [#aaacbf12] -単純にマージして良いのか?と言う話。 -脆弱性の多くは、[[npm]]系で、 --手動操作も [[npm audit fix>npmのコマンド#w961e02f]] してるだけなら、 --マージしても問題はないが、 --ビルドとテストは必要と考える。 ***マージしない [#f9f97bde] -放置すると、[[Dependabot>GitHub Dependabot]]により、Brunchが追加されていく。 -Pull RequestをCloseしたり、BrunchをDeleteしたりすると、 --[[Dependabot>GitHub Dependabot]]は、「このリソースについてはお知らせしません。」と言ってくる。 --その後、BrunchをRestoreして、Pull RequestをReOpenすると、[[Dependabot>GitHub Dependabot]]により、 ---Brunchが、最新に更新される。 ---若しくは、別途、修正がされていると、~ 一時的に、Conflictの状態になるが、その後、~ Pull RequestがClose、BrunchがDeleteされる。
