VersionEye开源持续更新工具

VersionEye开源了帮助更新项目依赖项的同名持续集成工具。该工具提出了“持续更新（continuous updating）”的概念，它可以提供许多软件库的更新通知、许可检查和安全漏洞信息。VersionEye创建者Robert Reiz希望通过开源这款软件增加人们的信任和这个访问私人库的代码库的透明度。

该工具集成了GitHub、Bitbucket和Stash，可以在使用Java、Ruby、Node.JS和其他具有包管理器的常见编程语言编写的项目中搜索过期的依赖项。该工具最近增加了.NET支持。

要使用VersionEye，用户需要通过库账户登录，该软件会扫描所有项目，检测相应的依赖项，并定期报告过期库。借助许可白名单，用户还可以定义哪种许可类型适用于他们的项目，并开启安全漏洞警报。

对于流行的库，人们希望Bug和漏洞能够及时得到修复。Robert Reiz是VersionEye的创始人兼首席执行官，他一直在跟踪更新。据他介绍，每年有超过100万个新版本发布，其中90%是小版本或补丁包，即按照定义不会破坏API。不过，只有真正将这些更新集成到有关的应用程序中，才能获得更新的好处。研究显示，使用过期的依赖项存在如下风险：

• 安全：依赖项可能包含安全漏洞。当依赖项没有通过更新修复这样的漏洞时，系统就可能处于风险中；

• 灵活性：最新依赖项让组织可以更快地响应变化，因为最近的依赖项版本比旧的依赖项版本更容易更新。新依赖项提供了新功能；

• 稳定性：依赖项更新经常包含Bug修复以及整个系统稳定性和正确性的改进；

• 兼容性：系统环境的外部更新可能会导致系统功能异常。

出处：InfoQ