Der Dependabot von GitHub ist ein nützliches Tool für deine Workflow-Automatisierung. Mit ihm kannst du deine Anwendung immer auf dem aktuellsten Stand halten.
Er erzeugt automatisch Pull Requests, um veraltete Abhängigkeiten zu aktualisieren. Das spart dir Zeit, damit du dich auf das Wesentliche konzentrieren kannst: die Entwicklung deiner Anwendung.
In diesem Artikel erhältst du eine Schritt-für-Schritt Anleitung zur Aktivierung und Konfiguration des Dependabots.
Schritt 1: Aktiviere den Dependabot
Um den Dependabot zu aktivieren, wählst du zuerst dein Repository in GitHub aus.
Klicke dann im Reiter auf Settings und navigiere zu Code security und analysis.
Du solltest eine Übersicht aller Dependabot-Funktionalitäten sehen. Du kannst dort Warnungen, Sicherheitsupdates und Versionsupdates aktivieren.
Schritt 2: Konfiguriere den Dependabot
Als nächstes konfigurierst du den Dependabot.
Sobald du die Dependabot Versionsupdates aktivierst hast, wird automatisch eine yml-Datei erzeugt. Diese befindet sich ab sofort in deinem Repository, im .github Ordner. GitHub wird dich zu dieser Datei weiterleiten.
Die yml-Datei bestimmt, welche Pakete und Bibliotheken überwacht werden sollen.
Anpassungen innerhalb der yml-Datei
Führe folgende Änderungen in deiner yml-Datei durch, um die Konfiguration abzuschließen:
- Hinterlege deinen verwendeten Paketmanger
- Gib das Verzeichnis an, in dem sich die Abhängigkeiten befinden
- Lege das Zeitintervall für die Update-Suche fest
Wenn du dir nicht sicher bist, ob dein Paketmanager unterstützt wird, findest du hier eine gute Übersicht.
Für das Zeitintervall kannst du einen täglichen, wöchentlichen oder monatlichen Rhythmus angeben.
Multi-Repos
Arbeitest du in einem Multi-Repo mit mehreren Paketmanagern, kannst du diese problemlos in deiner Konfiguration einbinden.
Dieses Beispiel zeigt dir eine yml-Datei mit zwei Paketmanagern:
Schritt 3: Überprüfe die Pull Requests
Sobald du den Dependabot aktiviert und konfiguriert hast, erstellt er automatisch Pull Requests. Diese dienen der Aktualisierung veralteter Abhängigkeiten.
Um sicher zu gehen, dass die Pull Requests keine Probleme verursachen, solltest du diese überprüfen. Du kannst das manuell machen. Du kannst diesen Prozess auch automatisieren.
Automatischen Build implementieren
Mit einer weiteren Workflow-Automatisierung kannst du die manuelle Prüfung der Pull Requests umgehen. Implementiere hierfür einen automatisierten Build mit GitHub Actions, der bei jedem Pull Request gestartert wird. Wie das geht, erfährst du in diesem Artikel.
Bei Major Updates der Abhängigkeiten, solltest du dennoch die Funktionalität deiner Anwendung manuell überprüfen. Manchmal kann es zu Breaking Changes kommen, auch wenn der Build erfolgreich durchgeführt wurde.
Schritt 4: Bestätige die Pull Requests
Nach erfolgreicher Überprüfung, kannst du die Pull Request in deinen Hauptbranch überführen.
Aktiviere am besten die automatische Löschung von Branches, die überführt wurden. So sparst du dir einen weiteren manuellen Schritt. Dies kannst du unter den General Settings deines Repositories, im Abschnitt Pull Request aktivieren.
Dependabot erstellt keine Pull Requests
Je nach eingestelltem Zeitintervall und Stand deiner Abhängigkeiten, kann es dauern, bis die ersten Pull Requests erstellt werden. Die Update-Suche erfolgt meist nachts.
Solltest du nach einiger Zeit noch immer keine Interaktionen mit dem Dependabot haben, dann überprüfe deine Konfiguration.
Fazit
Eine Workflow-Automatisierung kann dir helfen, Zeit zu sparen und deine Entwicklungsprozesse effizienter zu gestalten. Hierfür gibt es viele nützliche Tools, wie den GitHub Dependabot.
Mit Hilfe des Dependabots ist deine Anwendung immer auf dem aktuellsten Stand. Er erstellt Pull Request für die Aktualisierung von Abhängigkeiten, damit du dich wichtigeren Themen widmen kannst.
Nutze diese Schritt-für-Schritt Anleitung, um den Dependabot in deinem GitHub Repository einzurichten.
Quelle Hintergrund des Titelbilds: kostenlose Hintergrundfotos von .pngtree.com
Quelle Dependabot Logo
