Renovate vs Dependabot
Dependabot (GitHub native):
+ Eingebaut in GitHub (kein Setup)
+ Gut fuer npm, pip, gem, maven
- Schwaecher bei Docker, Helm, Terraform
- Konfiguration begrenzt
- Nur GitHub
Renovate:
+ Alle Package-Manager (30+)
+ Docker, Helm, Terraform, Ansible, ...
+ Hochgradig konfigurierbar
+ GitHub, GitLab, Gitea, Azure DevOps
+ Automerge fuer minor/patch
+ Grouping: alle React-Updates in einem PR
Empfehlung: Renovate fuer heterogene Projekte
Renovate selbst hosten (Docker)
# Renovate als Docker-Container
docker run --rm -e RENOVATE_TOKEN=github-token -e LOG_LEVEL=debug renovate/renovate meinefirma/mein-repo
# Oder GitLab CI (in .gitlab-ci.yml)
# renovate:
# image: renovate/renovate:latest
# script:
# - renovate meinefirma/mein-repo
# variables:
# RENOVATE_TOKEN: GITLAB_TOKEN
# Cronjob-Setup
# Nightly: 02:00
# 0 2 * * * docker run renovate/renovate meinefirma/mein-repo
renovate.json Konfiguration
{
"$schema": "https://docs.renovatebot.com/renovate-schema.json",
"extends": [
"config:recommended"
],
"schedule": ["after 8pm every weekday", "every weekend"],
"timezone": "Europe/Berlin",
"labels": ["dependencies"],
"reviewers": ["@admin"],
"packageRules": [
{
"matchUpdateTypes": ["minor", "patch"],
"automerge": true,
"automergeType": "branch"
},
{
"matchPackagePatterns": ["^react"],
"groupName": "React Packages"
},
{
"matchManagers": ["dockerfile"],
"enabled": true
},
{
"matchManagers": ["helm-values"],
"enabled": true
},
{
"matchManagers": ["terraform"],
"enabled": true
}
]
}
FAQ
Ist Automerge sicher?
Fuer minor/patch mit guten Tests: ja. Empfehlung: Automerge nur wenn CI gruenes Licht gibt (require status checks passed). Major Versions: immer manuell reviewen.
Fazit
Renovate ist das effektivste Tool gegen Dependency-Drift: automatische PRs fuer alle Package-Manager, gruppierbarer und mit Automerge fuer niedrig-riskante Updates.
DevOps Automation fuer KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Beratung anfragen.