Что порекомендуете renovate или snyk?

Question

[Вадим]

есть задача автоматически обновлять пакеты в node.js и react репозиториев, используя CI/CD. Недавно услышал про renovate и snyk? Используете ли вы их и насколько легко их встроить в пайплайны (и нужно ли) для автоматического обновления устаревших пакетов приложений в bitbucket? Какие проблемы их использования?

Answer 1

[Василий Банников]

есть задача автоматически обновлять пакеты в node.js и react репозиториев, используя CI/CD.

Имхо, обновление пакетов не должно быть автоматическим, и тем более не должно быть частью CI/CD, тк приложение тестируется на вполне конкретных версиях пакетов, и вообще package-lock не для того придуман, чтобы его какая-то автоматика затирала.

Ещё более-менее ок вариант - подобие dependabot, который делает PR с обновлёнными пакетами, который можно принять, если все тесты прошли.

Так что renovate выглядит вполне нормальным решением для своевременных обновлений.
Snyk же - это какое-то решение полного цикла, чтобы ещё до принятия PR проверять зависимости и всё такое.

Comments

[Вадим]

а можете примерно сказать как вы renovate используете - пошагово, что он делает?

[Василий Банников]

Вадим, я реновейт не использую. Просто почитал и сравнил.
Попробую впихнуть в наш проект в понедельник.

[Василий Банников]

Вадим, про то, что он даёт и как использовать - написано в README:
https://github.com/renovatebot/renovate

• Получать автоматические запросы на вытягивание всякий раз, когда зависимости нуждаются в обновлении
  
• Определите расписание, чтобы избежать ненужного шума в проектах (например, в выходные или нерабочее время, или еженедельные обновления и т.д.)
  
• Соответствующие файлы пакетов обнаруживаются автоматически (например, поддерживается архитектура monorepo, такая как рабочие пространства Lerna или Yarn, без дополнительной настройки).
  
• Поведение бота очень легко настраивается с помощью файлов конфигурации (конфигурация в виде кода).
  
• Используйте общие предустановки конфигурации, подобные ESLint, для удобства использования и упрощения настройки (только в формате JSON)
  
• Файлы блокировки изначально поддерживаются и обновляются в одной и той же фиксации, включая немедленное разрешение конфликтов при объединении PR
  
• Поддерживает GitHub (.com и Enterprise), GitLab (.com и CE/EE), облако Bitbucket, сервер Bitbucket, Azure DevOps и Gitea.
  
• С открытым исходным кодом (устанавливается через npm/Yarn или концентратор Docker), поэтому может быть размещен самостоятельно или использоваться через приложение GitHub
  

[Alex]

Если нужно просто обновлять версии пакетов, то renovate самое то.
У себя на проете Snyk используем для контроля пакетов с известными уязвимостями.