«Обновлять нельзя оставить». Управляем зависимостями в CI/CD

Если хотите построить процесс CI/CD для большого проекта, вы неминуемо столкнетесь с проблемой управления зависимостями. В реальном проекте могут быть сотни и тысячи зависимостей, для которых постоянно выходят обновления. Не обновлять часто нельзя (уязвимости, критические баги), но любое изменение может привнести новые дефекты. Сизифов труд, да?

В этом докладе Олег расскажет о том, какие средства контроля и управления зависимостями доступны разработчикам. Мы поговорим о ботах для автоматического апдейта зависимостей (Dependabot) и о том, как предотвратить dependency hell с помощью средств Maven (Maven Enforcer Plugin и т.д.) и Bill of Materials. После этого мы совместим все компоненты в единый pipeline.

Олег Ненашев

Разработчик в CloudBees, состоит в core team проекта Jenkins. C 2008 года занимается автоматизацией, инфраструктурой и фреймворкостроением для крупных программно-аппаратных проектов с помощью Jenkins и десятков других тулов. Пишет код, поддерживает ядро и плагины Jenkins, организует митапы в СПб и других городах.

Олег Ненашев CloudBees