Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

safety checkコマンドが非推奨になっている #1517

Closed
sabonerune opened this issue Jan 21, 2025 · 5 comments · Fixed by #1519
Closed

safety checkコマンドが非推奨になっている #1517

sabonerune opened this issue Jan 21, 2025 · 5 comments · Fixed by #1519
Labels
バグ 状態:設計 設計をおこなっている状態

Comments

@sabonerune
Copy link
Contributor

不具合の内容

test-securityアクションで使用しているsafety checkコマンドが非推奨になっています。

現象・ログ

safety check -r requirements.txt -r requirements-dev.txt -r requirements-build.txt -o bareを実行すると以下のメッセージが表示される。

+===========================================================================================================================================================================================+


DEPRECATED: this command (`check`) has been DEPRECATED, and will be unsupported beyond 01 June 2024.


We highly encourage switching to the new `scan` command which is easier to use, more powerful, and can be set up to mimic the deprecated command if required.


+===========================================================================================================================================================================================+

https://github.com/VOICEVOX/voicevox_engine/actions/runs/12781421506/job/35629309308

再現手順

safety check -r requirements.txt -r requirements-dev.txt -r requirements-build.txt -o bareを実行する。

その他

safety scanを使うように案内がありますがSafetyのドキュメントによるとどうやらログインが必須のようです。
@Hiroshiba
Copy link
Member

issue作成ありがとうございます!!

パット検索してみた感じ、pip-auditというのを見かけました!
https://pypi.org/project/pip-audit/

github actionsもありそう?
https://github.com/pypa/gh-action-pip-audit

ログインするのも別にいいのですが、誰でもローカルで試せないのはちょっと良くなさそう。

@sabonerune
ちょっと頼ってばかりで申し訳ないのですが、pip-auditを試していただくこととかってできますか・・・! 🙇

@Hiroshiba Hiroshiba added the 状態:設計 設計をおこなっている状態 label Jan 21, 2025
@Hiroshiba
Copy link
Member

Hiroshiba commented Jan 23, 2025
edited
Loading

サクッと試してみた感じ、pip-audit良さそうな雰囲気を感じました!
-rで指定しないといけなそう? 複数指定もできそう!

@sabonerune
Copy link
Contributor Author

オプションを何も付けていない場合は今の環境にインストールされているパッケージの検査のようです。
-rで指定すると指定したファイルから一時的な環境にインストールを実行してインストールされたパッケージを検査するという感じみたいです。

github actionsはpip-auditのインストール、実行、summaryに結果の表示をするようです。

@Hiroshiba
Copy link
Member

なるほどです、なんか良さそうな雰囲気ありそうですね!!!

github actionsで-r複数指定相当のことができ、かつ検査結果がよくないときはexitコード0以外で終了してくれれば今のname: <Test> Check Python dependency securityステップをそのまま置き換えられそうな気がします。
この2点を確認し、いけそうであれば実際に実装に移れそうです!

もしよかったら実装もお願いしちゃってもよろしいでしょうか・・・!!
discord webhookのチェックは大変そうな気がするので、「たぶん動く」くらいの感じで大丈夫かなーと思ってます。

あとsafetyを依存から外すのもできそう!
workflow置き換えとは別PRでも同じPRでもどちらでも良さそうです!

@sabonerune
Copy link
Contributor Author

多分そのまま置き換えできます。

safetyの依存を外す作業も一緒にやってしまいます。

@sabonerune sabonerune mentioned this issue Jan 23, 2025
Merged
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
バグ 状態:設計 設計をおこなっている状態
Projects
None yet
Milestone
No milestone
Development

Successfully merging a pull request may close this issue.

MNT: Safetyの代わりにpip-auditを使う sabonerune/voicevox_engine
2 participants
@Hiroshiba @sabonerune