On Wed, 24 Oct 2018 at 14:32, Andrea Ligios [email protected]
[it-torino-java-jug] <[email protected]> wrote:
>
>
> Ti aggiorna automaticamente le librerie vulnerabiili con la versione
>> giusta? :)
>>
>
> Aggiorna all'ultima o alla successiva (che iterativamente rende possibile
> usare la versione giusta - e senza scrivere codice), ma solo in avanti...
> in effetti con Meterian potreste voler tornare anche indietro, a fronte di
> 0day
>
> No, per ora non torniamo indietro neanche noi, ma la "next release" e' un
po' vago. In genere ti interessa aggiornare semplicemente alla prossima
patch release, se la vulnerabilita' e' risolta in quella, la minor comporta
gia' rischi di incompatibilita' e la major... boh, se proprio vuoi :) Non
mi sembra neanche inserisca la possibilita' di inserire "overrides", ovvero
di inserire una dipendenza diretta per "nascondere" la dipendenza
transitiva bacata (tipo con l'accoppiata infame jackson + spring-boot)
Con meterian hai l'opzione di aggiornare solo le librerie vulnerabili e
solo al livello che vuoi tu, con ovviamente anche la possibilita' di
aggiornare tutto (sempre al livello che vuoi tu). Quindi tipicamente scrivi
(scriverai, la feature non e' finita!) cose come:
meterian --autofix:safe+
aggiorna le librerie vulnerabili ma solo fino alla patch release ("safe"),
inserisce un override se richiesto ("+")
meterian --autofix:conservative,all
aggiorna tutte le librerie ("all") ma solo fino alla minor release
("conservative")
Dopo la autofix, che modifica i pom file, gli score sono ricalcolati e puoi
avere un feedback immediato, oltre ad avere la lista completa degli
aggiornamenti ovviamente. Ma sono aperto a suggerimenti comunque, lo sto
sviluppando :), ci interessa avere early feedback dagli sviluppatori! Cosa
ne pensi? Cosa cambieresti? Cosa vorresti? Dicci, dicci!!!
(vedete qui <https://www.meterian.io/report/gh/eclipse/vert.x> un tipico
report di meterian in HTML per chi si e' perso le puntate precedenti)
> Il sorgente
> <https://github.com/mojohaus/versions-maven-plugin/tree/master/src/main/java/org/codehaus/mojo/versions>
> potrebbe comunque esserti utile: il parsing del pom e la sostituzione delle
> versioni l'hanno già fatto tutto loro, perchè non sfruttarlo?
>
>
Mah, quando l'ho provato l'ultima volta mi smarmellava il pom, una cosa che
trovo molto seccante per quando fai una diff dopo. Cioe', okay avere il
tool automatico, figo, ma quello che decide alla fine devo essere io e devo
essere in grado di farlo usando i tool a cui sono abituato (diff nel mio
caso). Magari non e' cosi' importante, fai una formattata dopo e via
magari? Pero' se fai cosi ti smarmella il non-XML, se he hai... boh.
Cmq io lo uso solo in fase di rilascio per seccare gli snapshot (ebbene si,
uso maven!!!)
Poi appunto in Meterian dovremo supportare anche Gradle (per Java...
sigh!), NPM e dotnet, quindi il problema e' piu' ciccioso :)
Ciao,
Bruno
