Mantener las dependencias de los repositorios actualizadas es crucial para garantizar la calidad y la seguridad. Las dependencias desactualizadas pueden exponer el proyecto a vulnerabilidades, comprometer su estabilidad y afectar su rendimiento general. Para abordar esta situación, GitHub ha creado una nueva herramienta llamada GitHub Action: Evergreen.
El manejo de dependencias supone un desafío continuo para los desarrolladores debido a las constantes actualizaciones de bibliotecas, marcos de trabajo y paquetes. Las actualizaciones manuales son laboriosas y propensas a errores, y supervisar cada dependencia en todos los repositorios resulta una tarea desalentadora.
Dependabot, una herramienta de GitHub, automatiza la actualización de dependencias creando pull requests para nuevas versiones. A diferencia de las versiones de Dependabot enfocadas en seguridad, como los «Dependabot alerts» y «Dependabot security updates,» Dependabot version updates se dirige a cualquier dependencia desactualizada, sin esperar a que existan vulnerabilidades. Esto reduce la carga de trabajo de los desarrolladores y garantiza que los proyectos utilicen versiones seguras y recientes de sus dependencias. Sin embargo, la configuración de Dependabot mediante archivos YAML en cada repositorio puede complicar su implementación centralizada, generando una gestión incoherente de dependencias entre proyectos. Ante esta problemática, GitHub ha desarrollado Evergreen.
El Open Source Program Offi...