Tech Debt: Dependency Modernization Roadmap #2812
Description
Kontext
Bei der Evaluierung von Dependabot wurde festgestellt, dass 127 Vulnerabilities existieren, die größtenteils von transitiven Dependencies stammen (ws, ethers v5). Diese können nicht durch einfache Patch-Updates behoben werden, sondern erfordern Major-Upgrades.
Dependabot wurde bewusst nicht aktiviert, da es aktuell mehr Noise als Nutzen bringen würde.
Voraussetzungen für sichere Dependency-Updates
1. Test-Coverage erhöhen
Aktuell: ~20%
Ziel: ≥50%
- Coverage-Report in CI integrieren
- Coverage-Gate als PR-Blocker (Minimum-Threshold)
- Kritische Bereiche priorisieren: Payment, KYC, AML
- Unit-Tests für neue Features mandatory machen
2. NestJS 9 → 11 Migration
Aktuell: 9.4.3
Ziel: 11.x
Migration in Schritten:
- NestJS 9 → 10 (Breaking Changes evaluieren)
- NestJS 10 → 11 (Breaking Changes evaluieren)
- Abhängige Packages aktualisieren (@nestjs/*, etc.)
Referenz: NestJS Migration Guide
3. ethers v5 → v6 Migration
Aktuell: 5.8.0
Ziel: 6.x
- Breaking Changes dokumentieren
- Betroffene Services identifizieren
- Migration Guide erstellen
- Schrittweise Migration mit Tests
Referenz: ethers v6 Migration
Nach Abschluss
- Dependabot aktivieren (
.github/dependabot.yml) - Automatische Security-Updates für Minor/Patch
- Regelmäßige Major-Update Reviews
Vulnerabilities Übersicht (Stand: Januar 2026)
127 vulnerabilities
├── 27 low
├── 33 moderate
└── 67 high
Hauptverursacher:
- ws (WebSocket) in ethers, @nestjs/platform-ws, @dhedge/v2-sdk
- Transitive deps in Blockchain SDKs
Labels
- tech-debt
- security
- dependencies