Dependency-Update-Erkennung: Claude darf keine Abhängigkeiten ändern #72

New issue

Open

opened 2026-03-30 20:19:01 +00:00 by David · 0 comments

David commented 2026-03-30 20:19:01 +00:00

Collaborator

Copy link

Beschreibung

Laut PROJEKT-SPEC darf Claude Code keine Dependency-Updates durchführen (package.json, requirements.txt, Gemfile etc.). Der Claude Runner in backend/services/claude_runner.py prüft dies aber nicht — Änderungen an Dependency-Dateien werden unerkannt in MRs übernommen.

Hintergrund

Unkontrollierte Dependency-Updates können Security-Risiken einführen, Build-Systeme brechen oder ungewollte Versionssprünge verursachen.

Akzeptanzkriterien

• Nach Claude Run: Diff auf bekannte Dependency-Dateien prüfen
• Liste: package.json, package-lock.json, yarn.lock, requirements.txt, Pipfile, Gemfile, go.mod, pom.xml, Cargo.toml
• Bei Dependency-Änderung: Commit rückgängig machen oder MR blocken
• Konfigurierbar: Liste der geschützten Dateien pro Repo
• Test: Claude-Output mit geänderter package.json wird erkannt und blockiert

Technische Hinweise

• Betroffene Datei: backend/services/claude_runner.py
• Ansatz: git diff --name-only nach Claude Run gegen Blocklist prüfen
• Migration nötig: nein

Aufwand: S

## Beschreibung Laut PROJEKT-SPEC darf Claude Code keine Dependency-Updates durchführen (package.json, requirements.txt, Gemfile etc.). Der Claude Runner in `backend/services/claude_runner.py` prüft dies aber nicht — Änderungen an Dependency-Dateien werden unerkannt in MRs übernommen. ## Hintergrund Unkontrollierte Dependency-Updates können Security-Risiken einführen, Build-Systeme brechen oder ungewollte Versionssprünge verursachen. ## Akzeptanzkriterien - [ ] Nach Claude Run: Diff auf bekannte Dependency-Dateien prüfen - [ ] Liste: `package.json`, `package-lock.json`, `yarn.lock`, `requirements.txt`, `Pipfile`, `Gemfile`, `go.mod`, `pom.xml`, `Cargo.toml` - [ ] Bei Dependency-Änderung: Commit rückgängig machen oder MR blocken - [ ] Konfigurierbar: Liste der geschützten Dateien pro Repo - [ ] Test: Claude-Output mit geänderter package.json wird erkannt und blockiert ## Technische Hinweise - Betroffene Datei: `backend/services/claude_runner.py` - Ansatz: `git diff --name-only` nach Claude Run gegen Blocklist prüfen - Migration nötig: nein ## Aufwand: S

David added the

feature

S

wichtig

backend

service

labels 2026-03-30 20:19:01 +00:00

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

main

detached

feature/ui-redesign

No results found.

Labels

Clear labels   

api

API Endpoints betroffen

  

backend

Backend/Python betroffen

  

bug

Fehler/Bug

  

database

Datenbank/Migration betroffen

  

doku

Dokumentation nötig

  

feature

Neues Feature

  

frontend

Frontend/React betroffen

  

improvement

Verbesserung bestehender Funktion

  

in work

Issue wird gerade bearbeitet

  

kritisch

Höchste Priorität

  

L

Large: 1+ Tag, > 5 Dateien

  

M

Medium: halber Tag, 3-5 Dateien

  

niedrig

Niedrige Priorität

  

normal

Normale Priorität

  

review

In Review

  

S

Small: < 1h, 1-2 Dateien

  

service

Service/Pipeline betroffen

  

wichtig

Hohe Priorität

  

XL

Extra Large: mehrere Tage

No labels

api

backend

bug

database

doku

feature

frontend

improvement

in work

kritisch

L

M

niedrig

normal

review

S

service

wichtig

XL

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

Basti/Bruno#72

No description provided.