Modül 3 · Supply Chain Security · ⏱ 10 dakika

Dependabot security updates

Dependabot security updates

Bu derste neler öğreneceksin

  • Dependabot security updates'in ne yaptığını ve nasıl tetiklendiğini anlamak
  • Security updates ile version updates arasındaki farkı bilmek
  • PR içeriğini ve review sürecini kavramak
  • Güvenlik güncellemelerini yapılandırma seçeneklerini öğrenmek

Dependabot security updates nedir?

Dependabot alerts bir güvenlik açığı tespit ettiğinde, Dependabot otomatik olarak güvenlik açığını kapatan minimum sürüme yükselten bir PR açar. Bu özelliğe Dependabot security updates denir.

Dependabot alert: lodash@4.17.15 → CVE-2021-23337

Dependabot security update PR açar:
  "Bump lodash from 4.17.15 to 4.17.21"

Geliştirici inceler + onaylar

Merge → Alert "fixed" olarak kapanır

Security updates vs version updates — fark

ÖzellikSecurity updatesVersion updates
TetikleyiciCVE (güvenlik açığı)Yeni sürüm yayınlandı
AmaçGüvenlik açığını kapatBağımlılığı güncel tut
Minimum versiyonGüvenlik açığını kapatan en küçük sürümEn son stabil sürüm
YapılandırmaAyrı etkinleştirmedependabot.yml gerektirir

PR içeriği

Dependabot security update PR’ı şunları içerir:

  • Hangi bağımlılığın yükseltildiği
  • CVE/GHSA referans numarası
  • Değişiklik özeti (release notes)
  • Uyumluluk skoru (diğer projelerde başarı oranı)
  • CI check sonuçları

Etkinleştirme

Repo → Settings → Security → Dependabot security updates → Enable

veya organization genelinde:

Org → Settings → Security → Dependabot security updates → Enable all

Otomatik merge

Güvenilir bağımlılıklar için security update PR’larını otomatik merge etmek mümkündür. Bunun için:

  1. Dependabot security update PR açılır
  2. CI tüm check’leri geçer
  3. dependabot auto-merge veya GitHub Actions ile otomatik merge
# .github/workflows/dependabot-auto-merge.yml
on:
  pull_request:

jobs:
  auto-merge:
    if: github.actor == 'dependabot[bot]'
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: Auto-merge Dependabot PRs
        run: gh pr merge --auto --squash "$PR_URL"
        env:
          PR_URL: ${{github.event.pull_request.html_url}}
          GH_TOKEN: ${{secrets.GITHUB_TOKEN}}

Sınavda dikkat

  • Dependabot security updates, alerts’ı otomatik kapatmaz — PR’ın merge edilmesi gerekir
  • PR merge edildiğinde alert durumu otomatik fixed olur
  • Security updates ile version updates birbirinden bağımsız etkinleştirilir

Sırada ne var?

Dependabot version updates ve dependabot.yml yapılandırmasını ele alacağız.