Mikulas
commented
6 years ago Zvážil bych nedat to do dev a nebo to dát do Jenkinsfile, aby se to při každém buildu a deploy testovalo
Closed HonzaMatosik closed 6 years ago
Mikulas
commented
6 years ago Zvážil bych nedat to do dev a nebo to dát do Jenkinsfile, aby se to při každém buildu a deploy testovalo
HonzaMatosik
commented
6 years ago Rozhodně to nesmí nikdy zastavit deploy a pokud bychom to upravili tak, že to bude jen warning, ale jinak to projde, tak to nikdo nebude řešit. Tohle spoléhá, že vývojář, který na tom pracuje nebo dělá aktualizaci, tak updatne i composer dependecies. Zatím bych to nechal nastavené takhle. Kdyby se ukázalo, že to nefunguje, tak to změníme.
Mikulas
commented
6 years ago Rozhodně to nesmí nikdy zastavit deploy a pokud bychom to upravili tak, že to bude jen warning, ale jinak to projde, tak to nikdo nebude řešit.
Tohle si navzájem naprosto odporuje. Chápu, proč deploy nechceš zastavit, ale je to podle mě nevhodné chování.
Tohle spoléhá, že vývojář, který na tom pracuje nebo dělá aktualizaci, tak updatne i composer dependecies.
Problém je, že u mangopress projektů, kde nás tohle trápí nejvíc, nikdo nikdy dependencies neaktualizuje.
HonzaMatosik
commented
6 years ago Ano, často se u mangopress projektů dependencies neaktualizují. Nicméně to je trochu jiný procesní problém, který se snažím v rámci (časových) možností řešit automatizovanými testy a dashboardem, který upozornuje, že někde je neaktualizovaný WP nebo dependencies. Tím, že tohle mergneme, tak MangoPress připravíme pro security kontrolu závislostí při updatu. Nic jiného to neovlivní a není to proti ničemu. Aby k updatům docházelo, to je jiný proces a jiná debata, ale není dobrý nápad to vynucovat zastavením deploye.
Mikulas
commented
6 years ago Nesouhlasím, nicméně aspoň tohle je lepší než nic, takže jsem pro aby se to teď mergnulo.
See https://github.com/Roave/SecurityAdvisories