Pagina 1 di 1
La maggior parte delle vulnerabilità che trovo nei progetti PHP sono in dipendenze Composer non aggiornate da mesi. Dependabot risolve il problema, ma se configurato male inonda il team di 30 PR alla settimana che nessuno guarda. Il setup giusto raggruppa per tipo (minor/patch insieme), apre PR mirate, automerge i casi sicuri.
In questa categoria scrivo di Dependabot applicato: configurazione pratica su progetti PHP/Laravel/Symfony, raggruppamento di patch e minor per ridurre il rumore, criteri di automerge sicuri, integrazione con la pipeline CI per evitare merge di update che rompono test.
Se le tue dipendenze PHP sono ferme da mesi e vuoi sistemare il flow, parliamone. Oppure scopri il mio approccio.
La maggior parte delle vulnerabilità che trovo nei progetti PHP sono in dipendenze Composer non aggiornate da mesi. Ho configurato Renovate su una decina di progetti: aggiornamenti raggruppati per tipo (minor, patch, security), auto-merge per patch dopo i test e notifiche per major. La surface di attacco si è ridotta drasticamente. Continua a leggere
