Pagina 1 di 1
Renovate fa quello che fa Dependabot, ma meglio quando hai più di tre repository da gestire. La dashboard centralizzata mostra tutte le dipendenze aggiornabili su tutti i progetti, il raggruppamento è più flessibile, le regex per personalizzare il comportamento per pacchetto sono potenti. L'ho integrato su una decina di progetti.
In questa categoria scrivo di Renovate applicato: configurazione pratica su progetti PHP multipli, raggruppamento per tipo di pacchetto e major version, regole custom per dipendenze critiche (Laravel, Symfony, database driver) vs dipendenze leaf (utility, logging), automerge sicuro per patch verificate dai test.
Se gestisci più progetti PHP e vuoi un sistema di aggiornamento dipendenze serio, parliamone. Oppure scopri come lavoro.
La maggior parte delle vulnerabilità che trovo nei progetti PHP sono in dipendenze Composer non aggiornate da mesi. Ho configurato Renovate su una decina di progetti: aggiornamenti raggruppati per tipo (minor, patch, security), auto-merge per patch dopo i test e notifiche per major. La surface di attacco si è ridotta drasticamente. Continua a leggere
