Update dependency dengan dependabot
Aplikasi yang kita buat biasanya mempunyai dependency dengan aplikasi lain, jika banyak dependency yang kita pakai mungkin kita tidak bisa mengetahui jika dependency yang kita pakai ada versi yang baru, baik itu ada perbaikan ataupun mengatasi security issue
Agar memudahkan kita mengetahui jika ada dependency yang bisa di update, kita dapat menggunakan dependabot
Dependabot
Dependabot adalah salah satu tool yang dapat kita gunakan untuk mengupdate dependency, tool ini akan membuat sebuah pull request untuk memperbarui dependency
Kita dapat menggunakan dependabot secara gratis
Untuk mengaktifkan dependabot caranya sangatlah mudah, kita buka repository github kita lalu klik Settings
dan akan ada menu di bagian kiri Security & analysis
Kita dapat mengaktifkan dependabot alerts dan dependabot security updates, seperti gambar dibawah ini
Nanti akan ada pull request yang dibuat oleh dependabot secara otomatis jika ada dependency yang dapat diupdate seperti
ini adalah contoh repository yang dipakai kali ini https://github.com/andrkrn/example-dependabot/
Konfigurasi Dependabot
Sebelumnya kita telah mengaktifkan dependabot pada github, itu menggunakan default configuration
Kita dapat mengubah configuration dependabot pada repository kita dengan cara menambahkan file .github/dependabot.yml
ke github repository
Lebih lengkapnya ada di https://docs.github.com/en/code-security/supply-chain-security/keeping-your-dependencies-updated-automatically/configuration-options-for-dependency-updates
...cont