chore: Configure Renovate

[renovate]

Welcome to Renovate! This is an onboarding PR to help you understand and configure settings before regular Pull Requests begin.

🚦 To activate Renovate, merge this Pull Request. To disable Renovate, simply close this Pull Request unmerged.

---

Detected Package Files

• eeos/docker-compose-dev.yml (docker-compose)
• eeos/docker-compose-local.yml (docker-compose)
• eeos/docker-compose-prod.yml (docker-compose)
• eeos/resources/local-develop-environment/docker-compose.yml (docker-compose)
• eeos/Dockerfile (dockerfile)
• .github/workflows/backend-cd-dev.yml (github-actions)
• .github/workflows/backend-ci.yml (github-actions)
• .github/workflows/pr-notification.yml (github-actions)
• .github/workflows/pr-review-notification.yml (github-actions)
• eeos/settings.gradle (gradle)
• eeos/build.gradle.kts (gradle)
• eeos/gradle/asciidoctor.gradle.kts (gradle)
• eeos/gradle/git-hooks.gradle.kts (gradle)
• eeos/gradle/integration-test.gradle.kts (gradle)
• eeos/gradle/libs.versions.toml (gradle)
• eeos/gradle/wrapper/gradle-wrapper.properties (gradle-wrapper)

Configuration Summary

Based on the default config's presets, Renovate will:

• Start dependency updates only once this onboarding PR is merged
• Hopefully safe environment variables to allow users to configure.
• Show all Merge Confidence badges for pull requests.
• Enable Renovate Dependency Dashboard creation.
• Use semantic commit type fix for dependencies and chore for all others if semantic commits are in use.
• Ignore node_modules, bower_components, vendor and various test/tests (except for nuget) directories.
• Group known monorepo packages together.
• Use curated list of recommended non-monorepo package groupings.
• Show only the Age and Confidence Merge Confidence badges for pull requests.
• Apply crowd-sourced package replacement rules.
• Apply crowd-sourced workarounds for known problems with packages.
• Run Renovate on following schedule: before 6am every weekday

🔡 Do you want to change how Renovate upgrades your dependencies? Add your custom config to renovate.json in this branch. Renovate will update the Pull Request description the next time it runs.

---

What to Expect

With your current configuration, Renovate will create 20 Pull Requests:

[deps] appleboy/ssh-action v0.1.7 → v0.1.10

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/appleboy-ssh-action-0.x
• Merge into: develop
• Upgrade appleboy/ssh-action to v0.1.10

[deps] io.jsonwebtoken:jjwt-jackson 0.12.3 → 0.12.6

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/jwt
• Merge into: develop
• Upgrade io.jsonwebtoken:jjwt-jackson to 0.12.6
• Upgrade io.jsonwebtoken:jjwt-impl to 0.12.6
• Upgrade io.jsonwebtoken:jjwt-api to 0.12.6

[deps] io.spring.dependency-management 1.1.4 → 1.1.7

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/spring.dependency.management
• Merge into: develop
• Upgrade io.spring.dependency-management to 1.1.7

[deps] mysql/mysql-server 8.0.27 → 8.0.32

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/mysql-mysql-server-8.x
• Merge into: develop
• Upgrade mysql/mysql-server to 8.0.32

[deps] org.asciidoctor.jvm.convert 4.0.2 → 4.0.4

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/asciidoctor
• Merge into: develop
• Upgrade org.asciidoctor.jvm.convert to 4.0.4

[deps] org.springframework.cloud:spring-cloud-dependencies 2023.0.0 → 2023.0.6

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/spring-cloud
• Merge into: develop
• Upgrade org.springframework.cloud:spring-cloud-dependencies to 2023.0.6

[deps] com.epages.restdocs-api-spec 0.18.2 → 0.19.5

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/epages.restdocs
• Merge into: develop
• Upgrade com.epages.restdocs-api-spec to 0.19.5
• Upgrade com.epages:restdocs-api-spec-mockmvc to 0.19.4

[deps] gradle 8.2.1 → 8.14.3

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/gradle-8.x
• Merge into: develop
• Upgrade gradle to 8.14.3

[deps] org.flywaydb.flyway 10.7.1 → 10.22.0

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/flyway
• Merge into: develop
• Upgrade org.flywaydb.flyway to 10.22.0

[deps] org.springdoc:springdoc-openapi-starter-webmvc-ui 2.3.0 → 2.8.9

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/spring.doc.openapi
• Merge into: develop
• Upgrade org.springdoc:springdoc-openapi-starter-webmvc-ui to 2.8.9

[deps] org.springframework.boot 3.2.2 → 3.5.3

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/spring-boot
• Merge into: develop
• Upgrade org.springframework.boot to 3.5.3

[deps] org.webjars:swagger-ui 5.10.3 → 5.26.2

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/swagger
• Merge into: develop
• Upgrade org.webjars:swagger-ui to 5.26.2

[deps] actions/cache v3 → v4

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/actions-cache-4.x
• Merge into: develop
• Upgrade actions/cache to v4

[deps] actions/checkout v3 → v4

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/actions-checkout-4.x
• Merge into: develop
• Upgrade actions/checkout to v4

[deps] actions/setup-java v3 → v4

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/actions-setup-java-4.x
• Merge into: develop
• Upgrade actions/setup-java to v4

[deps] adminer 4 → 5

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/adminer-5.x
• Merge into: develop
• Upgrade adminer to 5

[deps] appleboy/ssh-action v0.1.7 → v1.2.2

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/appleboy-ssh-action-1.x
• Merge into: develop
• Upgrade appleboy/ssh-action to v1.2.2

[deps] com.diffplug.spotless 6.25.0 → 7.1.0

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/major-spotless
• Merge into: develop
• Upgrade com.diffplug.spotless to 7.1.0

[deps] org.flywaydb.flyway 10.7.1 → 11.10.2

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/major-flyway
• Merge into: develop
• Upgrade org.flywaydb.flyway to 11.10.2

[deps] org.springframework.cloud:spring-cloud-dependencies 2023.0.0 → 2025.0.0

• Schedule: ["before 6am every weekday"]
• Branch name: renovate/major-spring-cloud
• Merge into: develop
• Upgrade org.springframework.cloud:spring-cloud-dependencies to 2025.0.0

Warnings (1)

Please correct - or verify that you can safely ignore - these warnings before you merge this PR.

• Deprecation Warning: Direct editing of prTitle is now deprecated. Please edit commitMessage subcomponents instead as they will be passed through to prTitle.

---

---

❓ Got questions? Check out Renovate's Docs, particularly the Getting Started section.
If you need any further assistance then you can also request help here.

---

This PR was generated by Mend Renovate. View the repository job log.

[coderabbitai]

Important

Review skipped

Bot user detected.

To trigger a single review, invoke the @coderabbitai review command.

You can disable this status message by setting the reviews.review_status to false in the CodeRabbit configuration file.

Walkthrough

새로운 renovate.json 파일이 추가되어 Renovate Bot을 통한 의존성 업데이트 관리를 설정합니다. 이 구성 파일은 기본 권장 설정을 확장하며, 시간대, 검토자, 라벨, PR 생성 및 병합 정책, 실행 스케줄 등의 세부 사항을 포함합니다.

Changes

파일/경로	변경 요약
renovate.json	Renovate Bot 설정 파일 신규 추가: 시간대, 리뷰어, 라벨, 스케줄 등 지정

Poem

🐰
새벽 여섯 전, 토끼가 깨어
의존성 줄 세우고 꼼꼼히 체크해요.
리뷰어 세 명, 라벨도 붙이고
자동 병합은 잠시 멈춰두죠.
Renovate와 함께, 프로젝트는 쑥쑥!
🌱✨

---

🪧 Tips

Chat

There are 3 ways to chat with CodeRabbit:

• Review comments: Directly reply to a review comment made by CodeRabbit. Example:
  • I pushed a fix in commit <commit_id>, please review it.
  • Explain this complex logic.
  • Open a follow-up GitHub issue for this discussion.
• Files and specific lines of code (under the "Files changed" tab): Tag @coderabbitai in a new review comment at the desired location with your query. Examples:
  • @coderabbitai explain this code block.
  • @coderabbitai modularize this function.
• PR comments: Tag @coderabbitai in a new PR comment to ask questions about the PR branch. For the best results, please provide a very specific query, as very limited context is provided in this mode. Examples:
  • @coderabbitai gather interesting stats about this repository and render them as a table. Additionally, render a pie chart showing the language distribution in the codebase.
  • @coderabbitai read src/utils.ts and explain its main purpose.
  • @coderabbitai read the files in the src/scheduler package and generate a class diagram using mermaid and a README in the markdown format.
  • @coderabbitai help me debug CodeRabbit configuration file.

Support

Need help? Join our Discord community for assistance with any issues or questions.

Note: Be mindful of the bot's finite context window. It's strongly recommended to break down tasks such as reading entire modules into smaller chunks. For a focused discussion, use review comments to chat about specific files and their changes, instead of using the PR comments.

CodeRabbit Commands (Invoked using PR comments)

• @coderabbitai pause to pause the reviews on a PR.
• @coderabbitai resume to resume the paused reviews.
• @coderabbitai review to trigger an incremental review. This is useful when automatic reviews are disabled for the repository.
• @coderabbitai full review to do a full review from scratch and review all the files again.
• @coderabbitai summary to regenerate the summary of the PR.
• @coderabbitai generate sequence diagram to generate a sequence diagram of the changes in this PR.
• @coderabbitai resolve resolve all the CodeRabbit review comments.
• @coderabbitai configuration to show the current CodeRabbit configuration for the repository.
• @coderabbitai help to get help.

Other keywords and placeholders

• Add @coderabbitai ignore anywhere in the PR description to prevent this PR from being reviewed.
• Add @coderabbitai summary to generate the high-level summary at a specific location in the PR description.
• Add @coderabbitai anywhere in the PR title to generate the title automatically.

CodeRabbit Configuration File (.coderabbit.yaml)

• You can programmatically configure CodeRabbit by adding a .coderabbit.yaml file to the root of your repository.
• Please see the configuration documentation for more information.
• If your editor has YAML language server enabled, you can add the path at the top of this file to enable auto-completion and validation: # yaml-language-server: $schema=https://coderabbit.ai/integrations/schema.v2.json

Documentation and Community

• Visit our Documentation for detailed information on how to use CodeRabbit.
• Join our Discord Community to get help, request features, and share feedback.
• Follow us on X/Twitter for updates and announcements.

[github-actions]

Test Results

89 tests  ±0   86 ✅ ±0   5s ⏱️ ±0s
35 suites ±0    3 💤 ±0 
35 files   ±0    0 ❌ ±0 

Results for commit 4c9e41a. ± Comparison against base commit cb976c2.

♻️ This comment has been updated with latest results.

[kssumin]

@coderabbitai review

[coderabbitai]

✅ Actions performed

Review triggered.

Note: CodeRabbit is an incremental review system and does not re-review already reviewed commits. This command is applicable only when automatic reviews are paused.

[kssumin]

@JNU-econovation/eeos-be 해당 PR에 대한 추가 설명입니다.

🔧 Renovate 도입 이유

도입 배경

현재 상황 분석

이는 위에 PR 설명에서 확인할 수 있습니다.
Renovate가 프로젝트를 스캔한 결과, 16개 카테고리 파일에서 20개의 업데이트가 대기 중:

관리 대상 파일들

• Docker 관련 (5개): 환경별 docker-compose, Dockerfile
• GitHub Actions (4개): CI/CD 파이프라인, PR 알림 워크플로우
• Gradle 관련 (7개): 빌드 설정, 의존성 카탈로그, 각종 플러그인

주요 업데이트 현황

• Spring Boot: 3.2.2 → 3.5.3 (3단계 메이저 업데이트!)
• Gradle: 8.2.1 → 8.14.3 (12단계 마이너 업데이트)
• MySQL: 8.0.27 → 8.0.32 (5단계 패치, 보안 패치 포함)
• GitHub Actions: v3 → v4 (메이저 업데이트, 보안 강화)
• JWT Library: 0.12.3 → 0.12.6 (보안 패치)

구체적인 문제점들

1. 누적된 기술 부채: Spring Boot 3단계, Gradle 12단계 업데이트 지연
2. 보안 위험: JWT, MySQL 등 보안 관련 패치 5개월 이상 지연
3. CI/CD 위험성: GitHub Actions v3 사용으로 보안 취약점 노출
4. 개발 효율성 저하: 16개 카테고리를 수동으로 관리하는 것은 비현실적

Renovate의 해결책

자동화된 의존성 관리

• 주기적 모니터링: 평일 새벽 6시 전에 자동으로 업데이트 확인
• 안전한 업데이트: 모든 PR은 팀원 리뷰 후 수동 머지 (automerge: false)
• 명확한 정보 제공: 버전 변경 내역, 릴리즈 노트, 호환성 정보 자동 포함

팀 워크플로우 최적화

• 자동 리뷰어 지정: @rlajm1203, @Daae-Kim, @kssumin 자동 할당
• 적절한 제한: 시간당 5개 PR로 스팸 방지
• 명확한 라벨링: [DEPS] 프리픽스로 의존성 업데이트 구분

📊 기대 효과

1. 보안 강화

• 보안 취약점이 발견된 라이브러리의 즉시 업데이트 알림
• CVE 정보와 함께 우선순위 높은 보안 패치 관리

2. 기술 부채 감소

• 소규모 업데이트의 지속적 적용으로 대규모 마이그레이션 작업 방지
• 최신 기능과 성능 개선사항의 지속적 도입

3. 개발 생산성 향상

• 수동 의존성 체크 시간 절약
• 개발자는 비즈니스 로직 개발에 집중 가능

4. 코드 품질 향상

• 최신 버전의 라이브러리 사용으로 버그 수정과 성능 개선 혜택
• 더 나은 API와 개발 경험 제공

팀 검토 프로세스

• 모든 의존성 업데이트는 팀원 리뷰 필수
• CI/CD 파이프라인을 통한 자동 테스트 검증
• 문제 발생 시 즉시 되돌리기 가능

[kssumin]

결론은 아래와 같습니다.

현 상황

• 현실적으로 우리가 모든 라이브러리의 새 버전 출시를 실시간으로 캐치하는 것은 불가능
• 보안 패치, 버그 수정, 새 기능 등 업데이트 이유와 중요도 파악 어려움

해결

• 봇의 역할: 새 버전 감지 및 정보 수집
• 사람의 역할: 프로젝트 맥락을 고려한 타당성 검토 및 최종 승인

[rlajm1203]

오..! 그러면 이제 의존성 버전을 자동으로 관리해주는 건가요?!

[kssumin]

오..! 그러면 이제 의존성 버전을 자동으로 관리해주는 건가요?!

넵 맞습니다
버전 업데이트 시 버전을 업데이트 해야하는 이유(보안. 새로운 api 추가 등) 명시와 함께
라이브러리 버전 자동 업데이트를 하여 해당 봇이 PR을 날립니다

이후 저희가 버전 업데이트 할지 말지만 merge릉 통해서 결정하면 됩니다

다양한 오픈소스에서(대표적인 예 JUnit) 해당 봇을 사용하고 있길래 저희도 슬쩍 가지고 왔습니다

[rlajm1203]

오..! 그러면 이제 의존성 버전을 자동으로 관리해주는 건가요?!

넵 맞습니다 버전 업데이트 시 버전을 업데이트 해야하는 이유(보안. 새로운 api 추가 등) 명시와 함께 라이브러리 버전 자동 업데이트를 하여 해당 봇이 PR을 날립니다

이후 저희가 버전 업데이트 할지 말지만 merge릉 통해서 결정하면 됩니다

다양한 오픈소스에서(대표적인 예 JUnit) 해당 봇을 사용하고 있길래 저희도 슬쩍 가지고 왔습니다

좋네요~ 일단 써봐도 좋을 것 같습니다!

근데, 자동 버전업에 따른 추가적인 작업은 우리가 해야 하는 거죠..?
기존 버전에서 사용한 클래스가, 버전 업 이후에 사라졌다던가.. 그런 상황 때문에요

[kssumin]

좋네요~ 일단 써봐도 좋을 것 같습니다!

근데, 자동 버전업에 따른 추가적인 작업은 우리가 해야 하는 거죠..? 기존 버전에서 사용한 클래스가, 버전 업 이후에 사라졌다던가.. 그런 상황 때문에요

네 맞습니다! Dependabot은 버전 업데이트만 해주고, 호환성 문제는 저희가 직접 해결해야 해요. (하지만 영향도는 CI 단계에서 바로 확인 가능)
하지만 해당 봇이 라이브러리 버전 업데이트 PR을 날렸을 때 CI 단계에서 아래와 같이 바로 저희 코드에 영향이 가는지 확인할 수 있어요:

• 컴파일 에러: 클래스/메서드 완전 제거 → 빌드 실패로 바로 감지
• 메서드 시그니처 변경 → 컴파일 에러로 바로 감지
• 동작 변경 → CI에서 테스트 실패로 감지