Logs du chan #afpy pour le

04:37 <discord_afpy> <foxm4sk> Hug!
07:38 <debnet> o/
07:44 <asyd> \o
12:58 <discord_afpy> <deuchnord> Hello ! Petite question, en PHP, il existe un outil qui permet d'analyser les dépendances utilisées par notre projet et de détecter celles pour lesquelles on utilise une version vulnérable (https://github.com/fabpot/local-php-security-checker, développé par le cofondateur du framework Symfony). Existe-t-il un outil équivalent pour les projets Python ?
13:04 <asyd> dependabot, renovatebot
13:04 <discord_afpy> <chadys> petit comparatif de quelques bots d'automatisation de dépendance (c'est pas que pour Python d'ailleurs) : Petit overview de bot de surveillance des dépendances : https://foojay.io/today/using-bots-to-keep-dependencies-updated/
14:25 <discord_afpy> <deuchnord> En fait je connais Dependabot, je posais la question car un outil du genre de celui que j'ai donné en exemple a l'avantage de ne pas dépendre d'une plateforme (ici GitHub). Si mon code se trouvait sur GitLab ou Gitea, il suffirait d'exécuter ça sur la CI pour tester nos dépendances 🙂
14:25 <discord_afpy> <deuchnord> (et accessoirement, on pourrait aussi check localement)
14:28 <asyd> https://hub.docker.com/r/renovate/renovate ?
14:33 <discord_afpy> <chadys> aucun des trois (dependabot, renovate, snyk) n'est dépendatn de github, même si c'est l'intégration principal. Ça s'installe très bien sur un gitlab (en local hors CI je ne sais pas mais je suppose que c'est faisable aussi)
14:34 <discord_afpy> <chadys> exemple : https://dependabot-gitlab.gitlab.io/dependabot/
14:37 <asyd> dependabot on peut pas le faire tourner chez soi si ?
14:45 <discord_afpy> <chadys> @asyd. je n'ai pas testé mais j'ai trouvé ça : https://mikebifulco.com/posts/run-dependabot-locally
14:47 <discord_afpy> <chadys> pour renovate https://github.com/renovatebot/renovate
14:47 <discord_afpy> <chadys> Dans le readme on a la liste des plateformes supportées (qui inclue gitlab et gitea) + une doc pour le self-host
14:50 <discord_afpy> <chadys> pour snyk open source, contrairement à ce que son nom indique ça a l'air bien proprio et à première vu je n'ai rien trouvé pour faire tourner en local https://docs.snyk.io/scan-application-code/snyk-open-source/licenses
14:51 <discord_afpy> <chadys> ah je n'ai rien dit, on peux faire tourner en local, mais il faut quand même un compte chez eux : https://docs.snyk.io/scan-application-code/snyk-open-source/use-snyk-open-source-from-the-cli
14:51 <alain_afpy> WARNING !!! YAKAFOKON DETECTED !!!!
15:18 <discord_afpy> <deuchnord> d'accord, merci pour vos réponses 🙂
15:36 <Mindiell> deuchnord: tu as mon projet aussi : https://pypi.org/project/packmon/
15:37 <Mindiell> il tourne en local sur ta machine, c'est un outil en CLI