[Week 33] Dependabot & security updates verwerken

[github-actions]

TLDR

Elke sprint moeten we kijken of er nieuwe dependabot PR's open staan en kunnen we de packages in ons project handmatig updaten. Zodra de main dependabot PR gemerged is, sluit dependabot automatisch alle kleine PRs. Elke sprint word een nieuw persoon assigned aan deze taak. Afhankelijk van hoelang deze taak blijkt te duren, kan de werkwijze aangepast worden.

Actiepunten

• Bij patch en minor versie updates, is dit een kwestie van ervoor zorgen dat de dependabot PR niet breekt.
• Bij major versie, controleren van de betreffende changelog, lokaal draaien, controleren of er iets fout gaat. Als de vervolgstappen veel tijd kosten, afstemmen met community of dit gedeeld kan worden.
• Als er iets fout gaat dat niet opgevangen word door een test, dan een issue aanmaken om dit op te vangen met een nieuwe test.

Acceptatiecriteria

• Alle Dependabot PR's zijn verwerkt of geüpdatet.
• Nieuwe issues voor vervolgstappen zijn aangemaakt en gelinkt.