textlint-ja
Replies: 6 comments 4 replies
-
|
案: 些細な脆弱性に関してはスルーすると決める |
Beta Was this translation helpful? Give feedback.
-
|
案: org単位でdependabotやrenovateを有効化し、org全体に適用する設定ファイルに些細な脆弱性のアップデートは自動的にマージするよう設定する |
Beta Was this translation helpful? Give feedback.
-
|
org全体への設定ファイルの適用に関して、renovateの場合は設定ファイル用のリポジトリを作成し、他のリポジトリの設定ファイルではそのリポジトリ参照する形を取ることができます。
ただ、個人的な感覚として、セキュリティーアップデートに関してはrenovateよりもdependabotの方が出してくれる印象はあるので、dependabotにおける実現方法を模索する方が良い気がします。 |
Beta Was this translation helpful? Give feedback.
-
|
案: monorepoにしてアップデートをまとめる |
Beta Was this translation helpful? Give feedback.
-
|
パッケージによってメンテナンスの濃淡がどうしてもあるはずですが、パッケージアップデートに関してはその辺りの濃淡を均一化しやすそうです。 |
Beta Was this translation helpful? Give feedback.
-
|
案: スクリプトやGitHub Actionsのworkflowを定期実行して些細な脆弱性のアップデートPRの作成やマージを行う |
Beta Was this translation helpful? Give feedback.
-
|
renovateやdependabotでは難しい・痒いところに手が届かないとなった場合に取りうるアプローチかと思います。 なお、GitHub Actionsの場合、reusable workflow等で共通化を行うことが可能です。 |
Beta Was this translation helpful? Give feedback.
-
|
案: 脆弱性のアップデートをよしなに行ってくれるSaaS等を導入する |
Beta Was this translation helpful? Give feedback.
-
|
案: 依存パッケージを見直して、不要なものを減らす |
Beta Was this translation helpful? Give feedback.
-
|
長期間メンテナンスされていない依存パッケージもあるはずなので、それらの見直しを行うことは安定的にパッケージをメンテナンスしていく上で有用だと思います。 |
Beta Was this translation helpful? Give feedback.
-
textlint-ja/textlint-rule-preset-ja-spacing#86 (comment)
GitHubのDependabot Alerts等で脆弱性があると判断されたパッケージのアップデート (特に些細な脆弱性のアップデート) をどのように行うか検討します。
ここでの些細な脆弱性とは、devDepencenciesやlockファイルのみのアップデートで済む、すなわち、リリース不要なものを指します。
Beta Was this translation helpful? Give feedback.
All reactions