아침에 메일을 확인하니 깃허브에서 다음과 같은 메시지가 와있었다.
이런 건 처음 받아봐서 깜짝 놀랐다.
dependency들 즉, 내가 사용했던 라이브러리 중 일부에서 잠재적인 보안의 위험성이 발견되어서 버전 업데이트가 이루어진 경우에 저런 알림을 주는 것 같다!
얼른 레포지토리에 가보니, 경고창이 있었다.
'See Dependabot alerts'를 누르니 아래처럼 security /dependabot alerts로 이동했다.
와.. 많다.ㅠㅠ
누르면 좀 더 자세한 설명이 나온다. 이런 이런 이유 때문에 취약하다~ 그래서 어떤 어떤 버전은 위험하니까 어떤 버전으로 패치를 해라!
'Create Dependabot security update'를 누르면 자동으로 PR을 해준다.
다시 여기에서 보면 하얀색 동그라미 친 부분처럼 되어 있다.
다시 상세 보기를 하면 이렇게 'Review security update'가 나온다.
확인한 뒤에, Merge pull request를 했다.
잘 merge되었다고 한다.
몇개는 이렇게 잘됐는데...
'Create Dependabot security update'를 눌렀는데, 이걸 업데이트하면 다른 dependencies들과 충돌한다고 PR을 안 만들어줬다.
그럴 때는 이걸 보라고 한다.
Troubleshooting Dependabot errors - GitHub Docs
About Dependabot errors Dependabot raises pull requests to update dependencies. Depending on how your repository is configured, Dependabot may raise pull requests for version updates and/or for security updates. You manage these pull requests in the same w
docs.github.com
이 문제를 해결하는 좋은 방법은, dependency들을 최신 버전으로 관리하는 것이라고 한다.
그래서 아래 문서를 보고 Dependabot을 사용해서, 최신 버전으로 관리하게 했다.
Configuring Dependabot version updates - GitHub Docs
About version updates for dependencies You enable Dependabot version updates by checking a dependabot.yml configuration file in to your repository's .github directory. Dependabot then raises pull requests to keep the dependencies you configure up-to-date.
docs.github.com
그랬더니 dependency 업데이트에 관해서 PR을 생성해줬다.
이것들도 확인 후 머지!
아침부터 깜짝 놀랐는데, 잘 해결된 것 같다 :)
예전에 사용했던 dependency들의 보안 취약점까지 매번 체크하기는 어려운데, 이렇게 체크하고 자동으로 PR도 보내주는 구나 ㅎㅎ 특별히 위험한 건 메일로도 알려주고. 좋다 ~
관련된 깃허브의 글!! 지난 2월 8일에 어떻게 dependabot alerts를 업데이트했는지 써있다.
https://github.blog/2022-02-08-improving-developer-experience-dependabot-alerts/
Improving the developer experience for Dependabot alerts | The GitHub Blog
Today, we’re shipping improvements to Dependabot alerts that make them easier to understand and remediate.
github.blog
궁금한 점
- dependency 업데이트할 때 베타 버전까지 포함? 미포함?
- 라이브러리가 엄청나게 많이 업데이트 되어서 이전 버전과 호환되지 않는 경우에도 업데이트를 PR을 하나? 관련 정보를 알려주나? 그건 확인 후에 merge해야 하나?
'그밖에🙌' 카테고리의 다른 글
| [git] upstream 연결하고, 코드 최신화하기 (0) | 2022.07.13 |
|---|---|
| [Github] PR 올릴 때 유용한 두 가지 파일(CODEOWNERS, pull_request_template.md) (0) | 2022.05.21 |
| [🛠 개발 환경] VScode User Snippets 설정 (0) | 2022.03.08 |
| [AWS] AWS Route 53 요금 뭐지 ?? (0) | 2022.01.08 |
| 마크다운 (0) | 2021.10.08 |