皆さんはGitHub上で管理するプロジェクトで、依存パッケージの管理をどの様に行っているでしょうか。
今までは、多くの開発現場でDependabotなどのツールを使用し、セキュリティ脆弱性を修正するためにパッケージを常に最新の状態に保つことがベストプラクティスとされてきました。
しかし、npm-debugやchalkといった有名パッケージが侵害される事件が発生しました。ここ数ヶ月で他にも同様の事件が発生していることもあり、常に最新を追い続けることが良いとは言えなくなってきています。
Dependabotが更新PRを挙げてきたらすぐさまmergeするという運用を少し考え直し、一定期間様子見…
Source link
Views: 0
