El lunes 28 de abril se pondrá en producción, Dependabot, que es una herramienta para la gestión de dependencias de los proyectos que se integra con el Repositorio de código corporativo horizontal
Dependabot es una herramienta que forma parte de la Plataforma de CI/CD corporativa, que se integra con el Repositorio de código corporativo horizontal, para automatizar la actualización de dependencias en tu repositorio de código. Cuando detecta que una de tus dependencias tiene una nueva versión disponible, abre automáticamente un Merge Request (MR) para que puedas revisarla e integrarla fácilmente.
En la política por defecto implementada de forma general, Dependabot solo propone actualizaciones de tipo “patch” (tercer dígito de la versión).
Por ejemplo, si usas log4j 2.3.1 y existe la versión 2.3.2, se abrirá un MR con esa actualización, pero no para la 2.4.0 .
Para más información puedes consultar FAQ Dependabot.
Recuerda que en el área DevSecOps está toda la información sobre las práctica DevSecOps en la ADA.
Así, que desde el lunes se dispone de esta utilidad para mantener los proyectos actualizados.