GitOps: Renovate einrichten und mit Bot Dependencies aktuell halten

Um Software sicher und Updates schlank zu halten, müssen Abhängigkeiten regelmäßig auf neue Versionen geprüft werden. Mit dem Renovate Bot geht das automatisch.

Artikel verschenken

12.05.2023, 14:30 Uhr

Lesezeit: 14 Min.

iX Magazin

Von

Danny Steinbrecher

GitOps: Renovate einrichten und mit Bot Dependencies aktuell halten
- Onboarding
Konfiguration
Noise Reduction
Zeitplan und Automerging
Einsatzfeld Kubernetes
Fazit

Artikel in iX 6/2023 lesen

Ohne Abhängigkeiten (Dependencies) geht es in der Softwarewelt kaum mehr. Fertige Pakete von außerhalb sparen zwar Entwicklungszeit, bergen jedoch die Gefahr leicht zu übersehender Schwachstellen, die als Common Vulnerabilities and Exposures (CVEs) geführt werden. Abhängigkeiten erfordern also einen gewissen Wartungsaufwand. Das eindrücklichste Beispiel für die tickende Zeitbombe, die vernachlässigte Dependencies darstellen, ist der Vorfall um das Java-Logging-Framework Log4j im Jahr 2021.

Von Katastrophen wie dieser abgesehen, müssen Updates und Bugfixes aber auch deshalb regelmäßig nachgeladen werden, weil bei größeren Versionssprüngen die Gefahr besteht, dass Teile der Software inkompatibel werden – aufwendiges Nachjustieren ist die Folge. Um so eine Regelmäßigkeit gewährleisten zu können, automatisiert man am besten: Das kann der Renovate Bot leisten.

Danny Steinbrecher ist IT-Consultant und Softwareentwickler bei der codecentric.

Der Renovate Bot, den der Anbieter des Tools mend.io eigentlich Mend Renovate getauft hat, kümmert sich um die Dependencies innerhalb einer Anwendung. Er schaut nach, auf welchem Stand sie sind, und vergleicht sie mit den neusten Versionen. Zusätzlich gibt es noch eine Einschätzung, wie groß das Update sein würde – von Patch (v1.0.0 −> 1.0.1) über Minor (v1.0.0 −> 1.1.0) bis zu Major (v1.0.0 −> 2.0.0). Anschließend erstellt Renovate einen Pull Request in GitHub, der je nach Konfiguration automatisch oder manuell gemergt wird. Den Prozess kann man auf die Anwendung zuschneiden, sodass Renovate Bot beispielsweise unkritische Minor Updates automatisch und größere Major Updates manuell mergt.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Boox Note Air3 C im Test: Hybrid-Tablet mit farbigem E-Paper-Display

Boox Note Air3 C ist ein E-Reader und digitaler Notizblock, mit dem man lesen, schreiben und zeichnen kann. Er ist offen für (Hör-)Bücher aus vielen Quellen.

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Da ihre Vorgängerin nur in geringen Stückzahlen erhältlich war, sind viele Fotografen gespannt auf die neue Edelkompakte Fujifilm X100VI.

Proxmox VE: Was es kann und was man dafür braucht

Proxmox VE ist eine Linux-Distribution für Server- und Desktop-Virtualisierung, die viel Platz sparen kann.

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

GrapheneOS ist eine besondere Android-Spielart. Seine Bandbreite reicht von "sicher wie Fort Knox" bis "komfortabel vernetzt wie ein Google-Phone".

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Boox Note Air3 C im Test: Hybrid-Tablet mit farbigem E-Paper-Display

Boox Note Air3 C ist ein E-Reader und digitaler Notizblock, mit dem man lesen, schreiben und zeichnen kann. Er ist offen für (Hör-)Bücher aus vielen Quellen.

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Da ihre Vorgängerin nur in geringen Stückzahlen erhältlich war, sind viele Fotografen gespannt auf die neue Edelkompakte Fujifilm X100VI.

Proxmox VE: Was es kann und was man dafür braucht

Proxmox VE ist eine Linux-Distribution für Server- und Desktop-Virtualisierung, die viel Platz sparen kann.

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

GrapheneOS ist eine besondere Android-Spielart. Seine Bandbreite reicht von "sicher wie Fort Knox" bis "komfortabel vernetzt wie ein Google-Phone".

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

GitOps: Renovate einrichten und mit Bot Dependencies aktuell halten

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Boox Note Air3 C im Test: Hybrid-Tablet mit farbigem E-Paper-Display

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Proxmox VE: Was es kann und was man dafür braucht

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Boox Note Air3 C im Test: Hybrid-Tablet mit farbigem E-Paper-Display

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Proxmox VE: Was es kann und was man dafür braucht

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.