Hoe automatisch PyPi modules updaten?

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • brigges
  • Registratie: November 2012
  • Laatst online: 16-06 21:00
Ik ben bezig om met Djangocms een CMS te bouwen. Momenteel draai ik op Drupal maar
wil de switch maken naar Django.

Djangocms instaleert een groot aantal extra apps. Hoe hou je deze secure?
Drupal heeft een eigen mechanisme voor security updates voor 'bepaalde' modules.
Is er zoiets ook voor apps geinstalleerd met PIP?

Mooiste zou zijn als ik elke dag unattended 'gesignde' apps laat updaten.
Maar kan dat niet zo 1-2-3 vinden.

Heb wel een app Safety gevonden waarmee je met Safety check op vulnerablities kan testen.
Maar meer dan dat doet het niet.

Hoe wordt dit in de praktijk gedaan?

Alle reacties


Acties:
  • +1 Henk 'm!

  • winkelwagen
  • Registratie: Maart 2006
  • Laatst online: 22:24
Ik heb geen idee of er voor django specifieke best practices zijn, maar wij doen het volgende:
- we hebben een cicd pipeline, die zelfstandig code/images mag doorzetten;
- in deze pipeline zitten allerlei tests: unit tests, integratie tests, data tests, ... Bij onverwacht falende tests, stopt de pipeline met doorzetten;
- in de pipeline draaien ook tools zoals mend.io, die checks doet o.a. op vulnerabilities. Bij criticals krijgen we hiervan een notificatie;
- in de nightlies (deze zetten niet door) van de ci draaien we altijd met unpinned versies in de requirements; hierdoor krijg je elke dag feedback of je code werkt met de nieuwste versies en of er geen gekke dingen in je virtualenv gebeuren;
- bij elke merge na een PR vanuit een feature environment naar productie, draait de hele cicd pipeline.

Belangrijk is dus wel dat je tests echt goed testen, je moet vertrouwen hebben dat falende tests een kreupele deployment voorkomen. Dus niet alleen om je coverage omhoog te krikken :-)

(en bij de deployment natuurlijk goede deployment strategies hebben, tracing, de hele mikmak)

Acties:
  • 0 Henk 'm!

  • brigges
  • Registratie: November 2012
  • Laatst online: 16-06 21:00
Ik merk dat ik vraag niet duidelijk gesteld heb. Sorry daarvoor.

Ik bedoel is er een geautomatiseerd script om vanuit PIP security updates op gezette tijden uit te voeren?
Er zitten legio apps in PIP en die worden regelmatig van security updates voorzien, hoe track en download ik die automatisch?

In drupal krijg ik een mailtje als er een update beschikbaar is. Kan dat ook bij PIP apps?

Acties:
  • 0 Henk 'm!

  • winkelwagen
  • Registratie: Maart 2006
  • Laatst online: 22:24
Nee. Dit kan niet zomaar.
Er zijn wel tooltjes voor, en je kan met pip list --outdated wel het een en ander bekijken of iets een nieuwere versie heeft. Maar of dat security patches zijn, of breaking changes, dat weet je niet. Zeker niet als er geen semver is toegepast. Dus blijft handwerk.

Binnen het ecosysteem van django zal er vast wel wat zijn, zoals django-update ofzo. Maar daar heb ik geen ervaring mee.

Acties:
  • 0 Henk 'm!

  • mrwiggs
  • Registratie: December 2004
  • Laatst online: 23:09
Kijk eens naar renovatebot icm periodieke pipelines.