Waarom Dependabot?
Verouderde dependencies zijn een van de meest voorkomende oorzaken van beveiligingsproblemen. Het handmatig bijhouden van updates voor Composer-packages én GitHub Actions workflows kost tijd en wordt snel vergeten. Met Dependabot automatiseren we dit proces volledig.
Wat is geconfigureerd?
We hebben een .github/dependabot.yml toegevoegd aan de root van de repository. Dit bestand instrueert GitHub om wekelijks te controleren op updates in twee ecosystemen:
| Ecosysteem | Locatie | Omschrijving |
|---|---|---|
composer |
/ |
PHP-packages via composer.json |
github-actions |
/ |
Actions in .github/workflows/ |
De configuratie
version: 2
updates:
- package-ecosystem: "composer"
directory: "/"
schedule:
interval: "weekly"
day: "monday"
open-pull-requests-limit: 5
labels:
- "dependencies"
- package-ecosystem: "github-actions"
directory: "/"
schedule:
interval: "weekly"
day: "monday"
open-pull-requests-limit: 5
labels:
- "dependencies"
Hoe werkt het?
Elke maandag controleert Dependabot automatisch of er nieuwe versies beschikbaar zijn. Als dat het geval is, opent het een Pull Request met:
- De bijgewerkte versie in
composer.jsonof de workflow-bestanden - Een samenvatting van de wijzigingen (changelog, release notes)
- Het label
dependencies(bij beveiligingsupdates voegt Dependabot automatisch ooksecuritytoe)
Zo blijft de CI-pijplijn beheersbaar: er staan nooit meer dan 5 openstaande Dependabot-PRs tegelijk open per ecosysteem.
Voordelen
- Proactief — beveiligingsproblemen in dependencies worden snel gesignaleerd
- Geautomatiseerd — geen handmatig
composer outdatedmeer nodig - Overzichtelijk — updates komen als aparte, labelled PR's binnen
- Beheersbaar — het limiet van 5 open PRs voorkomt overbelasting van de CI-pijplijn