<div dir="ltr">Seems like the backporting was already acted upon, so +1 on that!<div><br></div><div>I think for the main repositories we could use <a href="https://github.com/nodesecurity/nsp">NSP's cli</a> in travis (assuming it exits non-zero when a vulnerability is found, adding it would be very simple), and thus we can have the checking be constant.</div><div>So if upon a regular feature PR nsp sees that we have a vulnerable dependency we can quickly open another PR to update it and rebase the original one.</div><div><br></div><div>I was afraid Snyk's bot would have the same problem as greenkeeper of not supporting monorepos but there seems to be two alternatives:</div><div><br></div><div>- Using the <a href="https://github.com/snyk/snyk">snyk cli</a> the same way we'd use the nsp cli, but it also requires extra authentication steps which can be configured in travis.</div><div>However this way we'd need to update the packages ourselves like via the nsp route or pretty much reimplement the bot's PR features.</div><div><br></div><div>- Manually adding every package.json in the monorepos to the list that the snyk bot checks as per <a href="https://github.com/snyk/snyk/issues/54">https://github.com/snyk/snyk/issues/54</a></div><div>This one is much simpler to do but adds a new manual step when creating new packages in the monorepos.</div><div><br></div><div>Finally, I also vote for removing snyk's check in the release repositories in favor of doing that in the monorepos no matter which of the above options to integrate snyk we decide upon.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Oct 12, 2017 at 7:39 AM, Wojciech Trocki <span dir="ltr"><<a href="mailto:wtrocki@redhat.com" target="_blank">wtrocki@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi<div><br>We recently got integration on generated repositories. </div><div>Due to nature of this repos (all content is generated) we cannot really merge any of the PR's as changes will be removed anyway with the next release.</div><div>We should make this changes in the original source + best to react to some critical problems.</div><div><br></div><div><div>I have couple ideas how we can get that fixed:</div><div><br></div><div>- Close PR's and backport changes to the core/angular.js repos.</div><div>- Disable synk on this repositories and have dependency check for recent versions on release. </div><div>- Merge PR directly into the branch and then backport changes.</div><div><br>I personally think that we may just need some general dependency update process for the release + backport snyk changes. </div><div>NSP integration may be also useful - I wasn't as effective as Snyk, but it's best to have it.</div><div><br>Example PR: <a href="https://github.com/feedhenry-raincatcher/raincatcher-portal/pull/1" target="_blank">https://github.com/<wbr>feedhenry-raincatcher/<wbr>raincatcher-portal/pull/1</a></div><div><br></div><div>PS: We already have related ticket in the sprint:</div><div><a href="https://issues.jboss.org/browse/RAINCATCH-1312" target="_blank">https://issues.jboss.org/<wbr>browse/RAINCATCH-1312</a> maybe we should extend that?<br></div><div><br></div><div>Regards</div><span class="HOEnZb"><font color="#888888"><div><br></div>-- <br><div class="m_2095277234477827640gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div style="font-size:12.8px"><p style="color:rgb(0,0,0);font-family:overpass,sans-serif;font-weight:bold;margin:0px;padding:0px;font-size:14px;text-transform:uppercase"><span>WOJCIECH</span> <span>TROCKI</span></p><p style="font-family:overpass,sans-serif;margin:0px;font-size:10px;color:rgb(153,153,153)"><a href="https://www.redhat.com/" style="color:rgb(0,136,206);margin:0px;text-decoration:none" target="_blank">Red Hat <span>Mobile</span></a></p><p style="font-family:overpass,sans-serif;margin:0px 0px 6px;font-size:10px;color:rgb(153,153,153)"><span>IM: <span>wtrocki</span></span></p><table border="0" style="color:rgb(0,0,0);font-family:overpass,sans-serif;font-size:medium"><tbody><tr><td width="100px"><a href="https://red.ht/sig" target="_blank"><img src="https://www.redhat.com/files/brand/email/sig-redhat.png" width="90" height="auto"></a></td></tr></tbody></table></div></div></div></div></div></div></div></div></div>
</font></span></div></div>
<br>______________________________<wbr>_________________<br>
Feedhenry-raincatcher mailing list<br>
<a href="mailto:Feedhenry-raincatcher@redhat.com">Feedhenry-raincatcher@redhat.<wbr>com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/feedhenry-raincatcher" rel="noreferrer" target="_blank">https://www.redhat.com/<wbr>mailman/listinfo/feedhenry-<wbr>raincatcher</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><p style="color:rgb(0,0,0);font-family:overpass,sans-serif;font-weight:bold;margin:0px;padding:0px;font-size:14px;text-transform:uppercase"><span>PAOLO</span> <span>HAJI</span></p><p style="color:rgb(0,0,0);font-family:overpass,sans-serif;font-size:10px;margin:0px 0px 4px;text-transform:uppercase"><span>SOFTWARE ENGINEER, RED HAT MOBILE APPLICATION PLATFORM</span></p><p style="font-family:overpass,sans-serif;margin:0px;font-size:10px;color:rgb(153,153,153)"><a href="https://www.redhat.com/" style="color:rgb(0,136,206);margin:0px" target="_blank">Red Hat <span>Brasil</span></a></p><p style="font-family:overpass,sans-serif;margin:0px 0px 6px;font-size:10px;color:rgb(153,153,153)"><span style="margin:0px;padding:0px"><a href="mailto:phaji@redhat.com" style="color:rgb(0,136,206);margin:0px" target="_blank">phaji@redhat.com</a>   </span></p><table border="0" style="color:rgb(0,0,0);font-family:overpass,sans-serif;font-size:medium"><tbody><tr><td width="100px"><a href="https://red.ht/sig" target="_blank"><img src="https://www.redhat.com/files/brand/email/sig-redhat.png" width="90" height="auto"></a></td><td style="font-size:10px"><div><a href="https://redhat.com/trusted" style="color:rgb(204,0,0);font-weight:bold" target="_blank">TRIED. TESTED. TRUSTED.</a></div></td></tr></tbody></table><table border="0" style="color:rgb(0,0,0);font-family:overpass,sans-serif;font-size:medium"><tbody><tr></tr></tbody></table></div></div></div></div></div></div>
</div>