在所有帮助保持依赖更新的可选工具中,Dependabot一直是我们认为可靠的默认选择。Dependabot跟GitHub的集成平滑,并能自动发送你的请求,更新依赖到最新的版本。它能在整个组织级别启动,这样所有团队接收到这些拉请求要容易得多。即便你没有在使用GitHub,也仍然可以在构建流水线中使用Dependabot库。如果选择替代品,你可以考虑翻新,它支持更多的服务,包括GitLab, Bitbucket都以及Azure DevOps。
使代码库的依赖保持最新是一件很麻烦的事,但是出于安全考虑,及时响应依赖的更新还是很重要的。你可以使用工具让这个过程尽可能轻松和自动化。我们的团队在实际使用Dependabot时觉得不错。它可以与GitHub仓库集成,自动检查依赖的版本更新,并在必要时提交一个升级依赖的公关。
保持依赖项的更新是一件苦差事,但是频繁地、增量地管理升级是很重要的。我们希望这个过程尽可能的无痛和自动化。我们的团队经常手工编写脚本,以实现过程的部分自动化;然而,现在我们集成了商业产品来完成这项工作。Dependabot是一个与你的GitHub存储库集成的服务,可以自动检查你的项目对新版本的依赖关系。当需要的时候,Dependabot会打开一个升级后的pull请求。使用CI服务器的特性,可以自动测试升级的兼容性,并自动将兼容升级合并到master。除了Dependabot,还有其他选择,包括翻新用于JavaScript项目和Depfu用于JavaScript和Ruby项目。然而,我们的团队推荐Dependabot,因为它支持多语言并且易于使用。