Entre las herramientas disponibles para mantener las dependencias actualizadas, es la opci¨®n predeterminada en nuestra opini¨®n. La integraci¨®n de Dependabot con GitHub es fluida y autom¨¢ticamente env¨ªa pull requests para actualizar las dependencias a sus ¨²ltimas versiones. Esto se puede habilitar a nivel de organizaci¨®n, haciendo tambi¨¦n muy f¨¢cil para los equipos recibir estos pull requests. Si no est¨¢s usando GitHub, es posible usar las bibliotecas de Dependabot dentro del pipeline de construcci¨®n. Si te interesa una herramienta alternativa, tambi¨¦n podr¨ªas considerar , que soporta una gama m¨¢s amplia de servicios, incluyendo GitLab, Bitbucket y Azure DevOps.
Mantener al d¨ªa las dependencias de software es una labor que toma tiempo, pero por razones de seguridad es importante responder a dichas actualizaciones de manera oportuna. Podemos usar herramientas para hacer que el proceso sea lo m¨¢s llevadero y automatizado posible. En la pr¨¢ctica nuestros equipos han tenido buenas experiencias con . Se integra con repositorios de GitHub y verifica las dependencias autom¨¢ticamente para buscar nuevas versiones. De ser necesario, Dependabot abrir¨¢ una pull request con las dependencias actualizadas.
Keeping dependencies up to date is a chore, but it's important to manage upgrades frequently and incrementally. We want the process to be as painless and automated as possible. Our teams have often hand-rolled scripts to automate parts of the process; now, however, we integrate commercial offerings to do that work. is a service that integrates with your GitHub repositories and automatically checks your project dependencies for new versions. When required, Dependabot will open a pull request with upgraded dependencies. Using features of your CI server, you can automatically test upgrades for compatibility and automatically merge compatible upgrades to master. There are alternatives to Dependabot, including for JavaScript projects and for JavaScript and Ruby projects. Our teams, however, recommend Dependabot because of its multilanguage support and ease of use.
