Dependabot alert: wie gehen Adapter-Developer damit um?
-
Hallo zusammen,
ich habe meinen ersten Adapter entwickelt und eine Frage zum Vorgehen bei Dependabot alerts, wie diesem.
Wie ist hier die Best Practice:
(1) im Adapter die Versionen der Abhängigkeiten ändern und testen
(2) zentral im Adapter Template ändern (wer?) und dann PR an alle betroffenen Adapter
(3) Erst (1), später (2)
(4) ein anderes VorgehenHat alles Vor- und Nachteile, aber die Multi-Adapter-Developer haben hier bestimmt eine bewährte Herangehensweise...
-
Hallo zusammen,
ich habe meinen ersten Adapter entwickelt und eine Frage zum Vorgehen bei Dependabot alerts, wie diesem.
Wie ist hier die Best Practice:
(1) im Adapter die Versionen der Abhängigkeiten ändern und testen
(2) zentral im Adapter Template ändern (wer?) und dann PR an alle betroffenen Adapter
(3) Erst (1), später (2)
(4) ein anderes VorgehenHat alles Vor- und Nachteile, aber die Multi-Adapter-Developer haben hier bestimmt eine bewährte Herangehensweise...
@ujok sagte in Dependabot alert: wie gehen Adapter-Developer damit um?:
zentral im Adapter Template ändern (wer?)
Der Creator nimmt automatisch die neueste Version der dependencies beim Erstellen, sofern nicht anders festgelegt. Änderungen hier sind also nicht nötig.
Dependabot alerts ziehen außerdem automatische Sicherheits-Update-PRs nach sich, wenn das Update ohne Konflikte möglich ist - das sollten dann alle betroffenen eh bekommen.Ich denke so ein richtiges Vorgehen gibts da nicht. Zumal manche alerts sich auf Abhängigkeiten von Abhängigkeiten beziehen. Manche kann man so gar nicht direkt beeinflussen, andere sind nur bei der Entwicklung aktiv, sodass die Risiken gar nicht gegeben sind.
Ich lasse dependabot einfach sein Ding machen und schaue mal, wenn es nicht geklappt hat.
Warum `sudo` böse ist: https://forum.iobroker.net/post/17109
-
@ujok sagte in Dependabot alert: wie gehen Adapter-Developer damit um?:
zentral im Adapter Template ändern (wer?)
Der Creator nimmt automatisch die neueste Version der dependencies beim Erstellen, sofern nicht anders festgelegt. Änderungen hier sind also nicht nötig.
Dependabot alerts ziehen außerdem automatische Sicherheits-Update-PRs nach sich, wenn das Update ohne Konflikte möglich ist - das sollten dann alle betroffenen eh bekommen.Ich denke so ein richtiges Vorgehen gibts da nicht. Zumal manche alerts sich auf Abhängigkeiten von Abhängigkeiten beziehen. Manche kann man so gar nicht direkt beeinflussen, andere sind nur bei der Entwicklung aktiv, sodass die Risiken gar nicht gegeben sind.
Ich lasse dependabot einfach sein Ding machen und schaue mal, wenn es nicht geklappt hat.
@alcalzone said in Dependabot alert: wie gehen Adapter-Developer damit um?:
Ich lasse dependabot einfach sein Ding machen und schaue mal, wenn es nicht geklappt hat.
Nur dass ich richtig verstehe: ich übernehme die Dependabot-Empfehlung, teste und gut ist's.
Danke für die schnelle Antwort
Hey! Du scheinst an dieser Unterhaltung interessiert zu sein, hast aber noch kein Konto.
Hast du es satt, bei jedem Besuch durch die gleichen Beiträge zu scrollen? Wenn du dich für ein Konto anmeldest, kommst du immer genau dorthin zurück, wo du zuvor warst, und kannst dich über neue Antworten benachrichtigen lassen (entweder per E-Mail oder Push-Benachrichtigung). Du kannst auch Lesezeichen speichern und Beiträge positiv bewerten, um anderen Community-Mitgliedern deine Wertschätzung zu zeigen.
Mit deinem Input könnte dieser Beitrag noch besser werden 💗
Registrieren AnmeldenSupport us
569
Online32.9k
Benutzer83.0k
Themen1.3m
Beiträge