Veraltete Abhängigkeiten sind ein unterschätztes Risiko in der Softwareentwicklung. Oft wird dem Dependency-Management zu wenig Beachtung geschenkt – zu aufwendig, zu komplex, zu leicht zu vergessen. Doch genau hier entstehen Sicherheitslücken und Wartungsprobleme. Zeit, euer Dependency-Management in den Griff zu bekommen – setzt auf Renovate und vermeidet Sicherheitsrisiken von Anfang an! 

Was ist Renovate?

Renovate ist ein Dependency-Management-Tool, das sich darum kümmert, alle Abhängigkeiten in einem Repository auf dem neusten Stand zu halten. Es handelt sich um ein Open-Source-Tool, welches von Mend.io entwickelt wird. Neben Dependabot gehört Renovate zu den am weitesten verbreiteten Tools in diesem Bereich und wird weltweit von Unternehmen wie Microsoft, Ebay oder Uber eingesetzt.

So funktioniert's

Renovate analysiert Abhängigkeiten und erstellt automatisch Updates, die als Merge-Requests in das Versionskontrollsystem eingespielt werden. Das Team von Entwickelnden kann dann entscheiden, ob diese direkt übernommen werden können oder aber angepasst werden müssen. Im folgenden Bild zeigen wir, wie Renovate arbeitet. 

1. Einrichtung: Damit der Renovate-Bot Änderungen am Code vornehmen kann, benötigt er einen Account und die Berechtigungen für die Repositories. Mit einem Accesstoken lässt sich Renovate am einfachsten betreiben. Anschließend wird definiert, welche Repositories überwacht werden sollen und die allgemeine Konfiguration wird vorgenommen.
2. Repository-Scan: Ist Renovate eingerichtet, scannt der Bot die Repositories in vorher definierten Zeitabständen nach allen verwendeten Dependencies. Es wird ein sogenanntes Dependency-Dashboard erstellt, in dem die Entwickler:innen eine Übersicht über alle verwendeten Abhängigkeiten erhalten. Dabei prüft Renovate für jede Dependency, ob es eine aktuellere Version gibt.
3. Merge-Request: Findet Renovate eine neue Version, wird ein neuer Branch erstellt, in dem die Version aktualisiert wird. Anschließend wird ein Merge-Request eröffnet, in welchem alle Informationen zur Version enthalten sind.
4. Überprüfung: Dieser Schritt wird in der Regel vom entwickelnden Team manuell ausgeführt. Es muss jetzt geprüft werden, ob die offenen Merge-Requests akzeptiert werden können. Dabei wird vor allem geschaut, ob die neusten Versionen mit der Software kompatibel sind. Gibt es im Projekt schon entsprechende Test-Pipelines, kann auch dieser Schritt automatisiert werden. Renovate bietet dann die Möglichkeit, diese Merge-Requests nach erfolgreichem Test automatisch zu akzeptieren.
5. Merge: Wird der Merge-Request akzeptiert, wird die neuste Version in die Codebasis integriert und die Dependency ist wieder auf dem neusten Stand. Wird der Merge-Request ignoriert, bleibt er so lange bestehen, bis eine neuere Version verfügbar ist oder er von den Entwickler:innen geschlossen wird.

Konfigurationsmöglichkeiten – Was ihr anpassen könnt

Renovate bietet eine Vielzahl an Konfigurationsmöglichkeiten. Von eigenen Paketen bis zur Einbindung von Sicherheitsdatenbanken ist alles möglich. Für die Konfiguration von Renovate gibt es zwei Möglichkeiten: Die globale Konfiguration ist für alle Repositories gültig. Damit ist es möglich, Grundeinstellungen zu setzen. Anderseits können in jedem Repository eigene Konfigurationen hinzugefügt werden, um das Tool für projektspezifische Bedürfnisse anzupassen. Die große Anzahl an Einstellungsmöglichkeiten kann sich für erfahrene Entwickler:innen als Vorteil erweisen, kann jedoch auf Einsteiger:innen etwas erschlagend wirken. Daher verfügt Renovate über sogenannte Presets, die Einsteiger:innen die Arbeit wesentlich vereinfachen. 

Funktionen – Was Renovate alles zu bieten hat

Renovate bietet verschiedene Features, welche dem entwickelnden Team die Arbeit erleichtern. Eines der wichtigsten Features ist das sogenannte Dependency-Dashboard. Dieses wird beim ersten Lauf des Tools erstellt und enthält eine Übersicht über alle verwendeten Abhängigkeiten, wie Pakete, Module oder Erweiterungen. Zudem wird dort eine Übersicht über alle offenen Merge-Request erstellt, damit man leichter den Überblick behalten kann.

Ein weiteres wichtiges Feature betrifft die Verknüpfung mit Sicherheitsdatenbanken. Durch die Anbindung an die „OSV vulnerability database“ erkennt Renovate bekannte Schwachstellen in verwendeten Abhängigkeiten und schlägt direkt Alarm. Diese Datenbank umfasst über 200.000 bekannte Schwachstellen.

Ein drittes Feature ist die Möglichkeit, Updates zu gruppieren. Renovate kann so konfiguriert werden, dass beispielsweise alle Abhängigkeiten in einem Python-Programm gemeinsam verwaltet werden. Dadurch lässt sich die Anzahl offener Merge-Requests regulieren, was zu mehr Übersichtlichkeit führt. 

Fazit

Renovate ist ein Tool zur automatisierten Verwaltung von Abhängigkeiten, das Teams von Entwickler:innen hilft, ihre Software aktuell und sicher zu halten. Es bietet Funktionen wie das Dependency-Dashboard, die Integration mit Sicherheitsdatenbanken und die Möglichkeit, Updates zu gruppieren. Dadurch wird das Dependency-Management effizienter und übersichtlicher.  

Unsere Empfehlung