Dependabot security updates
Dependabot security updates
Bu derste neler öğreneceksin
- Dependabot security updates'in ne yaptığını ve nasıl tetiklendiğini anlamak
- Security updates ile version updates arasındaki farkı bilmek
- PR içeriğini ve review sürecini kavramak
- Güvenlik güncellemelerini yapılandırma seçeneklerini öğrenmek
Dependabot security updates nedir?
Dependabot alerts bir güvenlik açığı tespit ettiğinde, Dependabot otomatik olarak güvenlik açığını kapatan minimum sürüme yükselten bir PR açar. Bu özelliğe Dependabot security updates denir.
Dependabot alert: lodash@4.17.15 → CVE-2021-23337
↓
Dependabot security update PR açar:
"Bump lodash from 4.17.15 to 4.17.21"
↓
Geliştirici inceler + onaylar
↓
Merge → Alert "fixed" olarak kapanır
Security updates vs version updates — fark
| Özellik | Security updates | Version updates |
|---|---|---|
| Tetikleyici | CVE (güvenlik açığı) | Yeni sürüm yayınlandı |
| Amaç | Güvenlik açığını kapat | Bağımlılığı güncel tut |
| Minimum versiyon | Güvenlik açığını kapatan en küçük sürüm | En son stabil sürüm |
| Yapılandırma | Ayrı etkinleştirme | dependabot.yml gerektirir |
PR içeriği
Dependabot security update PR’ı şunları içerir:
- Hangi bağımlılığın yükseltildiği
- CVE/GHSA referans numarası
- Değişiklik özeti (release notes)
- Uyumluluk skoru (diğer projelerde başarı oranı)
- CI check sonuçları
Etkinleştirme
Repo → Settings → Security → Dependabot security updates → Enable
veya organization genelinde:
Org → Settings → Security → Dependabot security updates → Enable all
Otomatik merge
Güvenilir bağımlılıklar için security update PR’larını otomatik merge etmek mümkündür. Bunun için:
- Dependabot security update PR açılır
- CI tüm check’leri geçer
dependabot auto-mergeveya GitHub Actions ile otomatik merge
# .github/workflows/dependabot-auto-merge.yml
on:
pull_request:
jobs:
auto-merge:
if: github.actor == 'dependabot[bot]'
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Auto-merge Dependabot PRs
run: gh pr merge --auto --squash "$PR_URL"
env:
PR_URL: ${{github.event.pull_request.html_url}}
GH_TOKEN: ${{secrets.GITHUB_TOKEN}}
Sınavda dikkat
- Dependabot security updates, alerts’ı otomatik kapatmaz — PR’ın merge edilmesi gerekir
- PR merge edildiğinde alert durumu otomatik
fixedolur - Security updates ile version updates birbirinden bağımsız etkinleştirilir
Sırada ne var?
Dependabot version updates ve dependabot.yml yapılandırmasını ele alacağız.