Mettre à jour des packages est important afin de bénéficier des nouvelles fonctionnalités, améliorations de performances et des correctifs de sécurité. Il peut être dangereux de garder des packages devenu obsolètes.

Pour ce faire, Dependabot peut être très utile.

Dependabot va parcourir les fichiers de dépendances de notre projet et rechercher par exemple les packages.json ou encore les fichiers pom.xml utilisés. Si il en trouve, il va demander l’extraction individuelles pour mettre à jour chacunes d’entre elles.

Il est possible de l’utiliser dans Azure DevOps en installant l’extension Dependabot dans Organization Settings.

Il faut ensuite créer le pipeline Azure et donner l’accès à notre référentiel Project Collection Build Service afin que Dependabot puisse créer la pull request vers les référentiels de notre projet. Il faut pour cela, accéder aux paramètres de notre projet et cliquer sur les référentiles et rechercher le dépôt où le pipeline à été intégré. Il faut ensuite rechercher Projet Collection Build Service  et autoriser contribute, contribute to pull request, create branch, create Tag et Force Push.

Il est possible de planifier le pipeline afin de l’éxécuter une fois par semaine par exemple.

Publié le 03 décembre 2023.

Par Apoorv Tyagi.