Dependabot alert: wie gehen Adapter-Developer damit um?
-
Hallo zusammen,
ich habe meinen ersten Adapter entwickelt und eine Frage zum Vorgehen bei Dependabot alerts, wie diesem.
Wie ist hier die Best Practice:
(1) im Adapter die Versionen der Abhängigkeiten ändern und testen
(2) zentral im Adapter Template ändern (wer?) und dann PR an alle betroffenen Adapter
(3) Erst (1), später (2)
(4) ein anderes VorgehenHat alles Vor- und Nachteile, aber die Multi-Adapter-Developer haben hier bestimmt eine bewährte Herangehensweise...
-
@ujok sagte in Dependabot alert: wie gehen Adapter-Developer damit um?:
zentral im Adapter Template ändern (wer?)
Der Creator nimmt automatisch die neueste Version der dependencies beim Erstellen, sofern nicht anders festgelegt. Änderungen hier sind also nicht nötig.
Dependabot alerts ziehen außerdem automatische Sicherheits-Update-PRs nach sich, wenn das Update ohne Konflikte möglich ist - das sollten dann alle betroffenen eh bekommen.Ich denke so ein richtiges Vorgehen gibts da nicht. Zumal manche alerts sich auf Abhängigkeiten von Abhängigkeiten beziehen. Manche kann man so gar nicht direkt beeinflussen, andere sind nur bei der Entwicklung aktiv, sodass die Risiken gar nicht gegeben sind.
Ich lasse dependabot einfach sein Ding machen und schaue mal, wenn es nicht geklappt hat.
-
@alcalzone said in Dependabot alert: wie gehen Adapter-Developer damit um?:
Ich lasse dependabot einfach sein Ding machen und schaue mal, wenn es nicht geklappt hat.
Nur dass ich richtig verstehe: ich übernehme die Dependabot-Empfehlung, teste und gut ist's.
Danke für die schnelle Antwort
