Enable javascript in your browser for better experience. Need to know to enable it? Go here.

自动合并依赖项更新 PR

发布于 : Sep 27, 2023
不在本期内容中
这一条目不在当前版本的技术雷达中。如果它出现在最近几期中,那么它很有可能仍然具有相关参考价值。如果这一条目出现在更早的雷达中,那么它很有可能已经不再具有相关性,我们的评估将不再适用于当下。很遗憾我们没有足够的带宽来持续评估以往的雷达内容。 了解更多
Sep 2023
试验 ?

软件供应链的复杂性是一个重大风险,我们已经在一些文章中进行过讨论,例如 SBOMSLSA 。对于大多数团队来说,致命弱点仍然是依赖项中存在漏洞,通常是来自于多层的间接依赖项。Dependabot 等工具可以通过创建拉取请求 (PR) 来更新依赖项。不过,团队仍然需要制定工程纪律,以确保及时处理这些 PR,尤其是对长时间不活跃的应用程序或服务提交的 PR。

如果系统具有广泛的测试覆盖范围——不仅有完善的单元测试,还包括有功能和性能测试,并且构建流水线必须运行所有这些测试以及安全扫描,我们更提倡自动合并依赖项更新 PR。 简而言之,团队必须完全相信,流水线运行成功后,软件就可以投入生产。在这种情况下,依赖项更新 PR,即使它们在间接依赖项中包含主要版本更新,也应该自动合并。

下载 PDF

 

English | Español | Português | 中文

订阅技术雷达简报

 

立即订阅

查看存档并阅读往期内容