Dependabot

Configura o pre-commit na pasta .git/hooks do projeto para realizar a análise de vulnerabilidade em tempo de desenvolvimento.

Processo

Ao realizar um git clone de um projeto da Webmotors, é imprescindível efetuar algumas configurações padronizadas pela equipe de arquitetura em colaboração com a empresa.

Instalação

Para iniciar a instalação, utilize o seguinte comando no terminal:

npm i @webmotors/dependabot -g

O que isso significa?

Quando você usa o comando npm install -g, o -g representa "global". Isso significa que o pacote será instalado globalmente no seu sistema, em vez de ser instalado localmente em um projeto específico.

Acessibilidade: Pacotes instalados globalmente podem ser usados em qualquer lugar no seu sistema, permitindo que você execute comandos diretamente no terminal.

Validar a instalação

Para validar se a CLI foi instalado com sucesso, execute um dos comandos no seu terminal via linha de comando:

wm

Se instalado com sucesso deve retornar algo como:

Ou

wm -V

wm dependabot -V

Se instalado com sucesso deve retornar algo como:

Exportar CLI

Apenas se precisar, após instalar o @webmotors/dependabot, se não funcionar a validação, você pode exportar a pacote para ultilizar a CLI da Webmotors em qualquer path do terminal, para isso, execute o comando:

npm link

Lembrando que o comando npm i @webmotors/dependabot -g executado com sucesso ja deveria instalar de forma global sendo possível executar em qualquer terminal.

Como usar?

Para utilizar a configuração padrão de desenvolvimento da Webmotores, execute o seguinte comando na pasta do seu projeto de acordo com a linguagem de desenvolvimento:

Java Script

Configura o projeto de forma que, ao realizar um commit, seja iniciada a análise de vulnerabilidades para projetos Javascript, bloqueando o commit caso sejam detectados apontamentos.

wm dependabot js

.NET

Configura o projeto de forma que, ao realizar um commit, seja iniciada a análise de vulnerabilidades para projetos .NET, bloqueando o commit caso sejam detectados apontamentos.

wm dependabot .net

Remover as configurações

Remove as configurações podendo realizar commit mesmo com vulnerabildiades no projeto.

wm dependabot clear

Ao executar o comando wm dependabot [param] com sucesso, será retornado um conjunto de linhas conforme abaixo:

> Configurando projeto nos padrões da Webmotors...

> Criando 'dependabot.json' na raiz do projeto...

> Hook pre-commit criado com sucesso em:
+ /exemplo/nome/workspace/projeto/.git/hooks/pre-commit 

> Arquivo dependabot.json criado com sucesso em:
+ /exemplo/nome/workspace/projeto/dependabot.json

Quando usar?

O procedimento deve ser realizado sempre que um novo projeto for baixado em seu workspace. Embora seja recomendado executar esse procedimento de configuração apenas uma vez, não há problemas em repeti-lo, caso seja necessário.

Importante

Requisitos para sucesso no Jenkins

Para que seu projeto seja executado com sucesso nas esteiras do Jenkins, evitando erros de build e otimizando o tempo de desenvolvimento, é fundamental instalar a CLI e utilizar o comando wm [param]. Essas etapas são necessárias para implementar as configurações padronizadas definidas pela equipe de arquitetura, em conformidade com as diretrizes da Webmotors.

Após realizar o comando wm [param], lembre-se de adicionar o arquivo dependabot.json na área de staging para registrar as alterações e subir no repositório. Para isso, execute o comando:

git add dependabot.json
git commit -m "[descrição]"
git push origin [branch]