Kontext
Bei der Evaluierung von Dependabot wurde festgestellt, dass 127 Vulnerabilities existieren, die größtenteils von transitiven Dependencies stammen (ws, ethers v5). Diese können nicht durch einfache Patch-Updates behoben werden, sondern erfordern Major-Upgrades.
Dependabot wurde bewusst nicht aktiviert, da es aktuell mehr Noise als Nutzen bringen würde.
Voraussetzungen für sichere Dependency-Updates
1. Test-Coverage erhöhen
Aktuell: ~20%
Ziel: ≥50%
2. NestJS 9 → 11 Migration
Aktuell: 9.4.3
Ziel: 11.x
Migration in Schritten:
Referenz: NestJS Migration Guide
3. ethers v5 → v6 Migration
Aktuell: 5.8.0
Ziel: 6.x
Referenz: ethers v6 Migration
Nach Abschluss
Vulnerabilities Übersicht (Stand: Januar 2026)
127 vulnerabilities
├── 27 low
├── 33 moderate
└── 67 high
Hauptverursacher:
- ws (WebSocket) in ethers, @nestjs/platform-ws, @dhedge/v2-sdk
- Transitive deps in Blockchain SDKs
Labels
- tech-debt
- security
- dependencies
Kontext
Bei der Evaluierung von Dependabot wurde festgestellt, dass 127 Vulnerabilities existieren, die größtenteils von transitiven Dependencies stammen (ws, ethers v5). Diese können nicht durch einfache Patch-Updates behoben werden, sondern erfordern Major-Upgrades.
Dependabot wurde bewusst nicht aktiviert, da es aktuell mehr Noise als Nutzen bringen würde.
Voraussetzungen für sichere Dependency-Updates
1. Test-Coverage erhöhen
Aktuell: ~20%
Ziel: ≥50%
2. NestJS 9 → 11 Migration
Aktuell: 9.4.3
Ziel: 11.x
Migration in Schritten:
Referenz: NestJS Migration Guide
3. ethers v5 → v6 Migration
Aktuell: 5.8.0
Ziel: 6.x
Referenz: ethers v6 Migration
Nach Abschluss
.github/dependabot.yml)Vulnerabilities Übersicht (Stand: Januar 2026)
Labels