Log4Shell みたいなことが起きた時に慌てるのは嫌だなということで、去年の年末以降は dependency-check や trivy のレポートとにらめっこしてる。 (実際には 0-day は防げないため、直接は関係しないが、芽を摘んでおくことは良いことであるはず。) github.…

dependabot が生成する pull request で圧死しそうになってる日々です。

dependabot と付き合ってるソフトウェアエンジニアの方はたくさんいると思いますが、なんかぐぐっても gem の例しか出てこなくて、gradle で使ってる人はいないのかと不安になったため、ちょっと普段やってることをまとめておきます。

この記事を参考に実際にやるとどんな感じなのかやってみたら、コンパイラ以外のツールは追従してなさそうだからちょっと困るのでは？という感じの結果になったため、メモっておきます。 progret.hatenadiary.com