<div dir="ltr">Our elytron-web repo would also be interesting - we don&#39;t spend a lot of time in that repo so reminders things need an update could help there.<div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Sep 3, 2019 at 2:53 PM Tomas Hofman &lt;<a href="mailto:thofman@redhat.com">thofman@redhat.com</a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Running it on wildfly-elytron 1.x branch gives quite brief report:<br>
<br>
Generated at 15:42:49 2019-09-03<br>
<br>
org.apache.commons:commons-lang3:3.8 -&gt; 3.8.1<br>
org.jboss.spec.javax.json:jboss-json-api_1.0_spec:1.0.0.Final -&gt; 1.0.1.Final<br>
org.jboss.spec.javax.security.jacc:jboss-jacc-api_1.5_spec:1.0.1.Final -&gt; <br>
1.0.2.Final<br>
org.wildfly.common:wildfly-common:1.5.1.Final -&gt; 1.5.2.Final<br>
<br>
<br>
Are you interested in any other component?<br>
<br>
<br>
On 03/09/2019 11:31, Darran Lofthouse wrote:<br>
&gt; That would be really useful as we should be coordinating these via the <br>
&gt; component leads rather than just at the very end.<br>
&gt; <br>
&gt; On Tue, Sep 3, 2019 at 10:23 AM Carlo de Wolf &lt;<a href="mailto:cdewolf@redhat.com" target="_blank">cdewolf@redhat.com</a> <br>
&gt; &lt;mailto:<a href="mailto:cdewolf@redhat.com" target="_blank">cdewolf@redhat.com</a>&gt;&gt; wrote:<br>
&gt; <br>
&gt;     The tool is not WildFly specific, so it should be able to run on any project.<br>
&gt; <br>
&gt;     Carlo<br>
&gt; <br>
&gt;     On 03-09-19 11:01, Darran Lofthouse wrote:<br>
&gt;&gt;     An e-mail report would be really good, component leads may want to apply<br>
&gt;&gt;     the update to their own projects first to double check.<br>
&gt;&gt;<br>
&gt;&gt;     On Tue, Sep 3, 2019 at 9:55 AM Tomas Hofman &lt;<a href="mailto:thofman@redhat.com" target="_blank">thofman@redhat.com</a><br>
&gt;&gt;     &lt;mailto:<a href="mailto:thofman@redhat.com" target="_blank">thofman@redhat.com</a>&gt;&gt; wrote:<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;         On 02/09/2019 17:55, Brian Stansberry wrote:<br>
&gt;&gt;         &gt; Hi Tomas,<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt; Can this generate emails to this list instead of PRs? Processing<br>
&gt;&gt;         PRs is<br>
&gt;&gt;         &gt; expensive, both in terms of burden on our somewhat overburdened CI<br>
&gt;&gt;         and in terms<br>
&gt;&gt;         &gt; of forcing mergers to deal with a PR queue.  I&#39;m not opposed to<br>
&gt;&gt;         ending up<br>
&gt;&gt;         &gt; getting PRs but I&#39;d like to see any system producing acceptable<br>
&gt;&gt;         inputs before<br>
&gt;&gt;         &gt; we let it at the PR queue.<br>
&gt;&gt;<br>
&gt;&gt;         That&#39;s a good idea, we could definitely start with an email report.<br>
&gt;&gt;         Would give<br>
&gt;&gt;         us chance to get the configuration in shape without cluttering the PR<br>
&gt;&gt;         queue. I<br>
&gt;&gt;         will post it.<br>
&gt;&gt;<br>
&gt;&gt;         I was thinking about what is the most easily consumable form to<br>
&gt;&gt;         deliver this.<br>
&gt;&gt;         If we do manual review first, than perhaps single large PRs is better<br>
&gt;&gt;         than<br>
&gt;&gt;         separate PRs for each upgrade, to minimize CI burden and generate<br>
&gt;&gt;         less noise<br>
&gt;&gt;         for PR reviewers.<br>
&gt;&gt;<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt; I&#39;m glad to see the discussion of configurable rules, as that&#39;s quite<br>
&gt;&gt;         &gt; important.  I wouldn&#39;t like to see anything proposed except micro<br>
&gt;&gt;         version<br>
&gt;&gt;         &gt; updates or less than micro. No minors. If that&#39;s inappropriate for<br>
&gt;&gt;         some<br>
&gt;&gt;         &gt; component then that could be adjusted for that one, but the default<br>
&gt;&gt;         should be<br>
&gt;&gt;         &gt; micros only.<br>
&gt;&gt;<br>
&gt;&gt;         Agree.<br>
&gt;&gt;<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt; I also think some sort of time delay is appropriate, probably at<br>
&gt;&gt;         least a week.<br>
&gt;&gt;         &gt; Having an automated system race with the humans working on WildFly<br>
&gt;&gt;         would be<br>
&gt;&gt;         &gt; annoying. Github already notifies us of possible upgrades to<br>
&gt;&gt;         components with CVEs.<br>
&gt;&gt;<br>
&gt;&gt;         I also think long interval is better. Even maybe rather than running<br>
&gt;&gt;         on regular<br>
&gt;&gt;         intervals it could be triggered manually by RC after every EAP<br>
&gt;&gt;         release or<br>
&gt;&gt;         during some part of the release cycle.<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;         Tomas<br>
&gt;&gt;<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt; Best regards,<br>
&gt;&gt;         &gt; Brian<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt; On Mon, Sep 2, 2019 at 2:52 AM Tomas Hofman &lt;<a href="mailto:thofman@redhat.com" target="_blank">thofman@redhat.com</a><br>
&gt;&gt;         &lt;mailto:<a href="mailto:thofman@redhat.com" target="_blank">thofman@redhat.com</a>&gt;<br>
&gt;&gt;         &gt; &lt;mailto:<a href="mailto:thofman@redhat.com" target="_blank">thofman@redhat.com</a> &lt;mailto:<a href="mailto:thofman@redhat.com" target="_blank">thofman@redhat.com</a>&gt;&gt;&gt; wrote:<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt;     Hello,<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt;     would the Wildfly team be interested in (or opposed to)<br>
&gt;&gt;         receiving component<br>
&gt;&gt;         &gt;     upgrade PRs, which would be created automatically when a new<br>
&gt;&gt;         component version<br>
&gt;&gt;         &gt;     is released? (I&#39;m talking about new micro/SP versions,<br>
&gt;&gt;         depending on the<br>
&gt;&gt;         &gt;     component, i.e. version that could be reasonably expected to be<br>
&gt;&gt;         suitable for<br>
&gt;&gt;         &gt;     consumption, without issues like breaking API changes etc.)<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt;     I&#39;m working on a tool [1], which is able to provide these PRs.<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt;     The tool scans given project for dependencies, and then looks<br>
&gt;&gt;         at what versions<br>
&gt;&gt;         &gt;     of those dependencies are available in Maven Central and<br>
&gt;&gt;         possibly other<br>
&gt;&gt;         &gt;     repositories. I can configure rules for each dependency, that<br>
&gt;&gt;         specify what<br>
&gt;&gt;         &gt;     versions should be considered viable for upgrading (e.g. for<br>
&gt;&gt;         &gt;     &quot;org.picketlink:*&quot;<br>
&gt;&gt;         &gt;     we would only offer new &quot;SP&quot; builds in the same micro, for most<br>
&gt;&gt;         of the other<br>
&gt;&gt;         &gt;     dependencies we would only offer new micros, and some artifacts<br>
&gt;&gt;         would perhaps<br>
&gt;&gt;         &gt;     be blacklisted). Example of this configuration is here [2].<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt;     Advantages that I believe could be gained from this:<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt;     * It would bring us an advantage of having new component micros<br>
&gt;&gt;         tested soon in<br>
&gt;&gt;         &gt;     Wildfly, and therefore having more confidence when we need to<br>
&gt;&gt;         do the same<br>
&gt;&gt;         &gt;     upgrades in EAP.<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt;     * It would also help in preventing EAP running ahead of Wildfly<br>
&gt;&gt;         in component<br>
&gt;&gt;         &gt;     versions, which happens occasionally. EAP release coordinator<br>
&gt;&gt;         usually spots<br>
&gt;&gt;         &gt;     this problem and creates missing PR in Wildfly, but it&#39;s a<br>
&gt;&gt;         manual check and<br>
&gt;&gt;         &gt;     therefore a small risk remains.<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt;     * It would ensure Wildfly is consuming latest component fixes.<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt;     You can review PRs generated last week in my fork of Wildfly [3].<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt;     It&#39;s a work in progress, I expect the tool and it&#39;s<br>
&gt;&gt;         configuration would evolve<br>
&gt;&gt;         &gt;     according to experiences we would get from using it...<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt;     What do you think?<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt;     [1] <a href="https://github.com/TomasHofman/maven-dependency-updater/" rel="noreferrer" target="_blank">https://github.com/TomasHofman/maven-dependency-updater/</a><br>
&gt;&gt;         &gt;     [2]<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         <a href="https://github.com/jboss-set/dependency-alignment-configs/blob/master/wildfly-18-minimal.json#L44" rel="noreferrer" target="_blank">https://github.com/jboss-set/dependency-alignment-configs/blob/master/wildfly-18-minimal.json#L44</a><br>
&gt;&gt;         &gt;     [3] <a href="https://github.com/TomasHofman/wildfly/pulls" rel="noreferrer" target="_blank">https://github.com/TomasHofman/wildfly/pulls</a><br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt;     --<br>
&gt;&gt;         &gt;     Tomas Hofman<br>
&gt;&gt;         &gt;     Software Engineer, JBoss SET<br>
&gt;&gt;         &gt;     Red Hat<br>
&gt;&gt;         &gt;     _______________________________________________<br>
&gt;&gt;         &gt;     wildfly-dev mailing list<br>
&gt;&gt;         &gt; <a href="mailto:wildfly-dev@lists.jboss.org" target="_blank">wildfly-dev@lists.jboss.org</a> &lt;mailto:<a href="mailto:wildfly-dev@lists.jboss.org" target="_blank">wildfly-dev@lists.jboss.org</a>&gt;<br>
&gt;&gt;         &lt;mailto:<a href="mailto:wildfly-dev@lists.jboss.org" target="_blank">wildfly-dev@lists.jboss.org</a> &lt;mailto:<a href="mailto:wildfly-dev@lists.jboss.org" target="_blank">wildfly-dev@lists.jboss.org</a>&gt;&gt;<br>
&gt;&gt;         &gt; <a href="https://lists.jboss.org/mailman/listinfo/wildfly-dev" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/wildfly-dev</a><br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt;<br>
&gt;&gt;         &gt; --<br>
&gt;&gt;         &gt; Brian Stansberry<br>
&gt;&gt;         &gt; Manager, Senior Principal Software Engineer<br>
&gt;&gt;         &gt; Red Hat<br>
&gt;&gt;<br>
&gt;&gt;         -- <br>
&gt;&gt;         Tomas Hofman<br>
&gt;&gt;         Software Engineer, JBoss SET<br>
&gt;&gt;         Red Hat<br>
&gt;&gt;         _______________________________________________<br>
&gt;&gt;         wildfly-dev mailing list<br>
&gt;&gt;         <a href="mailto:wildfly-dev@lists.jboss.org" target="_blank">wildfly-dev@lists.jboss.org</a> &lt;mailto:<a href="mailto:wildfly-dev@lists.jboss.org" target="_blank">wildfly-dev@lists.jboss.org</a>&gt;<br>
&gt;&gt;         <a href="https://lists.jboss.org/mailman/listinfo/wildfly-dev" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/wildfly-dev</a><br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;     _______________________________________________<br>
&gt;&gt;     wildfly-dev mailing list<br>
&gt;&gt;     <a href="mailto:wildfly-dev@lists.jboss.org" target="_blank">wildfly-dev@lists.jboss.org</a>  &lt;mailto:<a href="mailto:wildfly-dev@lists.jboss.org" target="_blank">wildfly-dev@lists.jboss.org</a>&gt;<br>
&gt;&gt;     <a href="https://lists.jboss.org/mailman/listinfo/wildfly-dev" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/wildfly-dev</a><br>
&gt; <br>
<br>
-- <br>
Tomas Hofman<br>
Software Engineer, JBoss SET<br>
Red Hat<br>
</blockquote></div>