【GitHub】依存先パッケージ(ライブラリ)のSecurityAlerts(脆弱性)はマージするだけ(Botが自動的にプルリク作成)

技術

GitHub パッケージ ライブラリ 脆弱性

 

GitHubから依存先パッケージ(ライブラリ)のSecurityAlerts(脆弱性)に関するメールを受信しました。

 

GitHubは依存先パッケージ(ライブラリ)でSecurityAlerts(脆弱性)が修正されるとそれを使用してるリポジトリに対して、「脆弱性が直ったからプルリクしたよ、マージしてね」とお知らせしてくれます。なんて便利!!

 

 

依存先パッケージ(ライブラリ)のSecurityAlerts(脆弱性)

こんな感じのメールを受信します。

GitHub パッケージ ライブラリ 脆弱性

 件名のピンク色がリポジトリ名、緑色がパッケージ(ライブラリ)です。

このようにSecurityAlerts(脆弱性)のあるリポジトリとパッケージ(ライブラリ)が件名になったメールとなります、わかりやすい!!

 

Botが自動的にプルリク作成してくれる

 はい、メールを一番下までスクロールするとこのように(ピンク色下線)、自分のリポジトリにBotが自動的にプルリクを作成してくれてる。

 

リンクをクリックすると

GitHub パッケージ ライブラリ 脆弱性

GitHubのページが開きます。

 

対応はマージするだけ

気になる人は修正内容(commits, Files changed)見て、後はマージするだけ。

特に問題ないよーって人は、マージボタンを押すだけ。

 

マージボタン押下して、次に出てくるConfirmボタンも押下すると無事マージ完了。

しかも、少しその画面で待ってると、Botが作成したプルリクのブランチも自動的に削除してくれます。素晴らしい。

 

 ライブラリって一度導入すると仲々バージョンアップもしないしSecurityAlerts(脆弱性)があってもそんなことも知らずに放置することになるけど、この仕組みがあると安心ですね。

コメント

タイトルとURLをコピーしました