GitHubから依存先パッケージ(ライブラリ)のSecurityAlerts(脆弱性)に関するメールを受信しました。
GitHubは依存先パッケージ(ライブラリ)でSecurityAlerts(脆弱性)が修正されるとそれを使用してるリポジトリに対して、「脆弱性が直ったからプルリクしたよ、マージしてね」とお知らせしてくれます。なんて便利!!
依存先パッケージ(ライブラリ)のSecurityAlerts(脆弱性)
こんな感じのメールを受信します。
件名のピンク色がリポジトリ名、緑色がパッケージ(ライブラリ)です。
このようにSecurityAlerts(脆弱性)のあるリポジトリとパッケージ(ライブラリ)が件名になったメールとなります、わかりやすい!!
Botが自動的にプルリク作成してくれる
はい、メールを一番下までスクロールするとこのように(ピンク色下線)、自分のリポジトリにBotが自動的にプルリクを作成してくれてる。
リンクをクリックすると
GitHubのページが開きます。
対応はマージするだけ
気になる人は修正内容(commits, Files changed)見て、後はマージするだけ。
特に問題ないよーって人は、マージボタンを押すだけ。
マージボタン押下して、次に出てくるConfirmボタンも押下すると無事マージ完了。
しかも、少しその画面で待ってると、Botが作成したプルリクのブランチも自動的に削除してくれます。素晴らしい。
ライブラリって一度導入すると仲々バージョンアップもしないしSecurityAlerts(脆弱性)があってもそんなことも知らずに放置することになるけど、この仕組みがあると安心ですね。
コメント