Toon posts:

Hoe automatisch PyPi modules updaten?

Pagina: 1
Acties:

Vraag

zondag 11 juni 2023 14:41

Acties:
  • 0 Henk 'm!
  • brigges
  • Registratie: November 2012
  • Laatst online: 16-06 21:00

brigges

Topicstarter
Ik ben bezig om met Djangocms een CMS te bouwen. Momenteel draai ik op Drupal maar
wil de switch maken naar Django.

Djangocms instaleert een groot aantal extra apps. Hoe hou je deze secure?
Drupal heeft een eigen mechanisme voor security updates voor 'bepaalde' modules.
Is er zoiets ook voor apps geinstalleerd met PIP?

Mooiste zou zijn als ik elke dag unattended 'gesignde' apps laat updaten.
Maar kan dat niet zo 1-2-3 vinden.

Heb wel een app Safety gevonden waarmee je met Safety check op vulnerablities kan testen.
Maar meer dan dat doet het niet.

Hoe wordt dit in de praktijk gedaan?

Alle reacties

maandag 12 juni 2023 23:13

Acties:
  • +1 Henk 'm!
  • winkelwagen
  • Registratie: Maart 2006
  • Laatst online: 21:48

winkelwagen

Ik heb geen idee of er voor django specifieke best practices zijn, maar wij doen het volgende:
- we hebben een cicd pipeline, die zelfstandig code/images mag doorzetten;
- in deze pipeline zitten allerlei tests: unit tests, integratie tests, data tests, ... Bij onverwacht falende tests, stopt de pipeline met doorzetten;
- in de pipeline draaien ook tools zoals mend.io, die checks doet o.a. op vulnerabilities. Bij criticals krijgen we hiervan een notificatie;
- in de nightlies (deze zetten niet door) van de ci draaien we altijd met unpinned versies in de requirements; hierdoor krijg je elke dag feedback of je code werkt met de nieuwste versies en of er geen gekke dingen in je virtualenv gebeuren;
- bij elke merge na een PR vanuit een feature environment naar productie, draait de hele cicd pipeline.

Belangrijk is dus wel dat je tests echt goed testen, je moet vertrouwen hebben dat falende tests een kreupele deployment voorkomen. Dus niet alleen om je coverage omhoog te krikken :-)

(en bij de deployment natuurlijk goede deployment strategies hebben, tracing, de hele mikmak)

dinsdag 13 juni 2023 16:26

Acties:
  • 0 Henk 'm!
  • brigges
  • Registratie: November 2012
  • Laatst online: 16-06 21:00

brigges

Topicstarter
Ik merk dat ik vraag niet duidelijk gesteld heb. Sorry daarvoor.

Ik bedoel is er een geautomatiseerd script om vanuit PIP security updates op gezette tijden uit te voeren?
Er zitten legio apps in PIP en die worden regelmatig van security updates voorzien, hoe track en download ik die automatisch?

In drupal krijg ik een mailtje als er een update beschikbaar is. Kan dat ook bij PIP apps?

dinsdag 13 juni 2023 22:18

Acties:
  • 0 Henk 'm!
  • winkelwagen
  • Registratie: Maart 2006
  • Laatst online: 21:48

winkelwagen

Nee. Dit kan niet zomaar.
Er zijn wel tooltjes voor, en je kan met pip list --outdated wel het een en ander bekijken of iets een nieuwere versie heeft. Maar of dat security patches zijn, of breaking changes, dat weet je niet. Zeker niet als er geen semver is toegepast. Dus blijft handwerk.

Binnen het ecosysteem van django zal er vast wel wat zijn, zoals django-update ofzo. Maar daar heb ik geen ervaring mee.

woensdag 14 juni 2023 21:38

Acties:
  • 0 Henk 'm!
  • mrwiggs
  • Registratie: December 2004
  • Laatst online: 27-10 13:36

mrwiggs

Kijk eens naar renovatebot icm periodieke pipelines.
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq