Renovate für das Projekt aktivieren

[tobidope]

Können wir für das Projekt Renovate aktivieren? Damit können neue Versionen unserer Abhängigkeiten automatisch erkannt und ein pull request dafür gestellt werden. Im ersten Schritt würde dies nach Übernahme von #677 nur Jameica und Hibiscus betreffen. Sollte #614 gemerged werden, könnten alle direkt eingebundenen Abhängigkeiten damit überwacht werden. In meinem Arbeitskontext funktioniert dies recht gut. Es vereinfacht life cycle management und verhindert security incidents. Abhängigkeiten, die jahrelang nicht aktualisiert werden, bergen die Gefahr, dass sie irgendwann doch nicht mehr mit der aktuell supporteten JDK Version funktionieren oder eine ausnutzbare vulnerarbility enthalten. Wenn man dann direkt mehrere Versionen überspringen muss, ist dies oft sehr anstrengend, da etwaige breaking changes nun auf einmal behoben werden müssen. Wenn man regelmäßig Versionsupdates macht, ist es meist unproblematisch.
Damit renovate aktiviert werden kann, muss einer der Owner des repository die renovate Github App installieren. Wie das geht, ist hier beschrieben. Nach meinem Stand können nur @willuhn oder @phschoen die Installation druchführen oder der Installation zustimmen. Alternativ müsste eine Github Action eingebunden werden, die die GitHub CLI manuell startet.