GitHub的“Dependabot:自动安全修复”的可靠性和缺陷

Question

我想向其他人了解GitHub的“Dependabot:自动安全修复”是否是安全问题的安全可靠解决方案。

第一次也是唯一一次GitHub标记了一个安全问题，这也是由于过时的依赖关系。当时，我从存储库中提取，手动更新它们，然后将它们推回原处。到目前为止，我还没有在Stack溢出上找到任何直接针对我的问题的评论。如果我错了，请纠正我。

自动修复有多安全？我们可以盲目地依赖他们吗？我应该谨慎地使用它们吗？

屏幕截图，包括绿色的“创建自动安全修复”按钮。

Answer 1

Dependabot将通知您某些依赖项已知的安全问题。

唯一的缺点是：

• 新的依赖带来了其他问题。
• 它不能保证升级不会引起副作用，比如项目中的依赖关系的意外行为所带来的bug。

所以，不要忘记在您的项目上测试升级，无论是通过自动化的还是手动的。