ENECHANGEの白坂です。普段はバックエンド開発をメインでしています。
今回の記事では、ライブラリアップデートの具体的な実施手順と、継続的にアップデートを実施していくための工夫を紹介します。
- ライブラリアップデートはなぜ必要なのか?
- ライブラリアップデートが必要な理由
- 1. 開発が止まるリスクを避けるため
- 2. 脆弱性に対応するため
- 3. 迅速に脆弱性に対応できるようにするため
- 4. ライブラリの新機能を使うため
- 脆弱性対応が遅れると発生するリスク
- Equifax社のデータ漏洩(2017年)
- Log4Shell(2021年)
- ライブラリアップデートが必要な理由
- ライブラリアップデートどうやって進める?
- 実施手順
- 1. 全てのtestをpassさせて、warningsを0に近づける
- 2. 使っていないライブラリの削除
- 3. 使っていないコードと関連ライブラリの削除
- 4. 最も古い&影響範囲の狭いライブラリのバージョンアップ
- 5. その他のライブラリのバージョンアップ
- 6. poetry update
- 継続的に実施するための取り組み
- 1. タスクと工数を可視化する
- 2. Dependabotの導入
- 実施手順
- Dependabotでライブラリアップデートを一部自動化しよう
- Dependabotとは?
- 1. Dependabot alerts
- 2. Dependabot security updates
- 3. Dependabot version updates
- 設定方法
- ライブラリの脆弱性アップデートPRがパッチバージョンだった場合にオートマージする
- Dependabotとは?
- 最後に
- 参考記事