https://this-is-fine.io/categories/automation/Recent content in Automation on FuchsbauHugode-DETue, 09 Jun 2026 10:30:00 +0200https://this-is-fine.io/posts/20260609-pre-commit-gitleaks-sops-guard/Tue, 09 Jun 2026 10:30:00 +0200https://this-is-fine.io/posts/20260609-pre-commit-gitleaks-sops-guard/<p>Mein Lab-Repo ist öffentlich — abrufbar über meinen <a href="https://radicle.dev" rel="external noopener" target="_blank">Radicle</a> -Seed-Node <code>seed.this-is-fine.io</code>. Genau deshalb darf da nie ein Klartext-Secret hineinrutschen. Nicht „sollte nicht&quot;, sondern <em>kann nicht</em>: Drei <a href="https://pre-commit.com/" rel="external noopener" target="_blank">pre-commit</a> -Hooks fangen den Fehler ab, bevor er ein Commit-Objekt wird. Das ist die billigste Versicherung, die ich kenne — ein paar Zeilen YAML gegen einen Leak, den man nie ganz zurückholt.</p>https://this-is-fine.io/posts/20260609-renovate-gitops-dependencies/Tue, 09 Jun 2026 09:00:00 +0200https://this-is-fine.io/posts/20260609-renovate-gitops-dependencies/<p>Mein Lab ist ein einziges Repository: ein GitOps-Monorepo, aus dem <a href="https://fluxcd.io/" rel="external noopener" target="_blank">Flux</a> mehrere Talos-Cluster reconciled. Alles, was eine Version trägt, steht darin — Helm-Charts, Container-Images, die Talos- und Kubernetes-Version, dazu CLI-Pins in einem Dockerfile und in <code>shell.nix</code>. Manuell halte ich das nicht aktuell. Das macht <a href="https://docs.renovatebot.com/" rel="external noopener" target="_blank">Renovate</a> , und zwar so, dass es mir die langweiligen Bumps abnimmt und mich genau bei den drei, vier Dingen stoppt, bei denen ein blinder Merge teuer wäre.</p>