Телеграмм чат группы piterpy

10:56пожаловаться #1

n

namor in PiterPy Idle

непонятно, кто за что будет отвечать и чем, но чего не сделаешь ради нацбезопасности!

10:58пожаловаться #2

D

Стоит ли переходить на Poetry? Я увидел что Mozilla foundation на него переходит. У Django и проектов на нем обычно просто pip и requirements.txt. А тут новый формат TOML.

19:00пожаловаться #3

D

Он как я понимаю автообновлять может, однако не сломалось бы что. Хотя неплохо конечно дерево зависимостей смотреть.

19:01пожаловаться #4

D

А уязвимости он ищет?

19:01пожаловаться #5

D

У меня Django LTS поэтому обновляется не часто, с одного LTS на следующий и пакеты к нему чтобы работали, десятка два наверное.

19:03пожаловаться #6

DB

А уязвимости он ищет?

Нет. Уязвимости это safety

19:08пожаловаться #7

DB

У меня Django LTS поэтому обновляется не часто, с одного LTS на следующий и пакеты к нему чтобы работали, десятка два наверное.

Позавчера уязвимость вышла)

19:08пожаловаться #8

D

Нет. Уязвимости это safety

safety как я понял не умеет искать уязвимости если в requirements.txt ссылка на git репозиторий. Впрочем лучше чем ничего.

19:11пожаловаться #9

D

Позавчера уязвимость вышла)

Понятно, спасибо за информацию.

19:11пожаловаться #10

D

pip3 install Django\<3.0
Requirement already satisfied: Django<3.0 in /home/user/work/ispdevenv/lib/python3.6/site-packages (2.2.8)

19:12пожаловаться #11

D

Нет обновлений LTS

19:12пожаловаться #12

D

Если Poetry такой универсальный неплохо бы туда и проверку на уязвимости.

19:12пожаловаться #13

SS

Sergey Sokolov in PiterPy Idle

Он как я понимаю автообновлять может, однако не сломалось бы что. Хотя неплохо конечно дерево зависимостей смотреть.

Для этого хорошо юзать что-нибудь типа dependabot, он довольно гибко настраивается — можно вообще все обновления включить, а можно только секьюрити, а оно само в гитхабе будет делать пулреквесты

19:16пожаловаться #14

DB

safety как я понял не умеет искать уязвимости если в requirements.txt ссылка на git репозиторий. Впрочем лучше чем ничего.

Нет, умеет

19:26пожаловаться #15

DB

pip3 install Django\<3.0
Requirement already satisfied: Django<3.0 in /home/user/work/ispdevenv/lib/python3.6/site-packages (2.2.8)

2.2.9

19:27пожаловаться #16

DB

Нет, умеет

В коде не умеет, он содержит набор версий библиотек и из уязвимостей

19:28пожаловаться #17

D

2.2.9

-U забыл :(

19:30пожаловаться #18

D

Sergey Sokolov

Для этого хорошо юзать что-нибудь типа dependabot, он довольно гибко настраивается — можно вообще все обновления включить, а можно только секьюрити, а оно само в гитхабе будет делать пулреквесты

надо будет почитать.

Alexander Ovchinnikov 🦁 in PiterPy Idle

19:31пожаловаться #19

2019 December 26

AO

У меня Django LTS поэтому обновляется не часто, с одного LTS на следующий и пакеты к нему чтобы работали, десятка два наверное.

Кстати, в таком случае будут пропускаться депрекейшин варнинги