Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Aktuelle Informationen findest du in der englischsprachigen Dokumentation.
All products
Codesicherheit

Informationen zu Dependabot-Warnungen

In diesem Artikel

GitHub versendet Dependabot alerts, wenn erkannt wird, dass dein Repository eine anfällige Abhängigkeit oder Malware verwendet.

Dependabot alerts sind kostenlos für alle Repositorys auf GitHub.com.

Informationen zu Dependabot alerts

Hinweis: Hinweise zu Schadsoftware sind derzeit in der Betaphase, und Änderungen sind vorbehalten.

Durch Dependabot alerts erfährst du, dass dein Code von einem unsicheren Paket abhängt.

Wenn dein Code von einem Paket mit einem Sicherheitsrisiko abhängt, kann dies eine Reihe von Problemen für dein Projekt oder die Personen verursachen, die es verwenden. Du solltest so schnell wie möglich auf eine sichere Version des Pakets upgraden. Wenn dein Code Schadsoftware verwendet, musst du das Paket durch eine sichere Alternative ersetzen.

Weitere Informationen findest du unter Browsing security advisories in the GitHub Advisory Database.

Erkennen unsicherer Abhängigkeiten

Dependabot führt eine Überprüfung zum Erkennen von unsicheren Abhängigkeiten durch und sendet Dependabot alerts, wenn:

  • In der GitHub Advisory Database eine neue Empfehlung hinzugefügt wird. Weitere Informationen findest du unter Browsing security advisories in the GitHub Advisory Database.

    Hinweis: Nur Empfehlungen, die von GitHub überprüft wurden, lösen Dependabot alerts aus.

  • Das Abhängigkeitsdiagramm für ein Repository wird geändert. Wenn ein Mitwirkender beispielsweise einen Commit veröffentlicht, um die Pakete oder Versionen zu ändern, von denen er abhängt, oder wenn sich der Code einer der Abhängigkeiten ändert. Weitere Informationen findest du unter Informationen zum Abhängigkeitsdiagramm.

Darüber hinaus kann GitHub jegliche Abhängigkeiten, die in einem Pull Request dem Standardbranch eines Repositorys hinzugefügt, darin aktualisiert oder daraus entfernt werden, überprüfen und alle Änderungen markieren, die die Sicherheit deines Projekts beeinträchtigen könnten. So kannst du gefährliche Abhängigkeiten oder Malware erkennen und behandeln, bevor sie deine Codebasis erreichen, und nicht erst danach. Weitere Informationen findest du unter Überprüfen von Abhängigkeitsänderungen in einem Pull Request.

Eine Liste der Ökosysteme, in denen GitHub unsichere Abhängigkeiten erkennen kann, findest du unter Informationen zum Abhängigkeitsdiagramm.

Hinweis: Du musst dein Manifest und deine Sperrdateien auf dem neuesten Stand halten. Wenn das Abhängigkeitsdiagramm deine aktuellen Abhängigkeiten und Versionen nicht genau widerspiegelt, kannst du Warnungen zu unsicheren Abhängigkeiten verpassen, die du verwendest. Möglicherweise erhältst du auch Warnungen für Abhängigkeiten, die du nicht mehr verwendest.

Konfigurieren von Dependabot alerts

GitHub erkennt Abhängigkeiten mit Sicherheitsrisiken und Malware in öffentlichen Repositorys und zeigt das Abhängigkeitsdiagramm an, generiert standardmäßig jedoch keine Dependabot alerts. Repositorybesitzerinnen oder Personen mit Administratorzugriff können Dependabot alerts für öffentliche Repositorys aktivieren. Besitzerinnen privater Repositorys oder Personen mit Administratorzugriff können Dependabot alerts aktivieren, indem sie das Abhängigkeitsdiagramm und Dependabot alerts für ihre Repositorys aktivieren.

Du kannst Dependabot alerts auch für alle Repositorys aktivieren oder deaktivieren, die zu deinem Benutzerkonto oder deiner Organisation gehören. Weitere Informationen findest du unter Konfigurieren von Dependabot-Warnungen.

Informationen zu Zugriffsanforderungen für Aktionen im Zusammenhang mit Dependabot alerts findest du unter Repository roles for an organization.

GitHub beginnt sofort damit, das Abhängigkeitsdiagramm zu generieren, und generiert Warnungen für alle Abhängigkeiten mit Sicherheitsrisiken, sobald sie identifiziert werden. Das Diagramm wird in der Regel innerhalb weniger Minuten aufgefüllt, dies kann bei Repositorys mit vielen Abhängigkeiten jedoch länger dauern. Weitere Informationen findest du unter Verwalten von Datenverwendungseinstellungen für dein privates Repository.

Wenn GitHub eine Abhängigkeit mit Sicherheitsrisiken oder Schadsoftware erkennt, wird eine Dependabot-Warnung generiert und auf der Registerkarte Sicherheit für das Repository und im Abhängigkeitsdiagramm des Repositorys angezeigt. Die Warnung enthält einen Link zur betroffenen Datei im Projekt sowie Informationen zu einer Version, bei der das Problem behoben wurde. GitHub kann auch die Verwalter betroffener Repositorys über die neue Warnung gemäß ihren Benachrichtigungseinstellungen benachrichtigen. Weitere Informationen findest du unter Konfigurieren von Benachrichtigungen für Dependabot-Warnungen.

Bei Repositorys, für die Dependabot security updates aktiviert ist, kann die Warnung außerdem einen Link zu einem Pull Request enthalten, um die Manifest- oder Sperrdatei auf die Mindestversion zu aktualisieren, die die Sicherheitslücke behebt. Weitere Informationen findest du unter Informationen zu Dependabot-Sicherheitsupdates.

Hinweis: Die Sicherheitsfeatures von GitHub können nicht garantieren, dass alle Sicherheitsrisiken und jede Art von Malware erkannt wird. Die GitHub Advisory Database wird aktiv verwaltet, und Warnungen werden mithilfe der aktuellsten Informationen generiert. Allerdings kann nicht alles erkannt sowie kein Zeitrahmen zur Benachrichtigung über bekannte Sicherheitsrisiken garantiert werden. Diese Features können das Überprüfen der einzelnen Abhängigkeiten auf potenzielle Sicherheitsrisiken oder andere Probleme durch Menschen nicht ersetzen. Es wird empfohlen, sich bei Bedarf mit einem Sicherheitsdienst in Verbindung zu setzen oder eine gründliche Überprüfung der Abhängigkeiten durchzuführen.

Zugriff auf Dependabot alerts

Du kannst alle Warnungen, die sich auf ein bestimmtes Projekt auswirken, auf der Registerkarte Sicherheit des Repositorys oder im Abhängigkeitsdiagramm des Repositorys sehen. Weitere Informationen findest du unter Anzeigen und Aktualisieren von Dependabot-Warnungen.

Personen mit Administratorberechtigungen in den betroffenen Repositorys werden standardmäßig über neue Dependabot alerts benachrichtigt. GitHub teilt ermittelte Abhängigkeiten mit Sicherheitsrisiken für Repositorys nie öffentlich mit. Du kannst Dependabot alerts auch für weitere Personen oder Teams sichtbar machen, die mit Repositorys in deinem Besitz arbeiten oder für die du Administratorberechtigungen hast. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.

Um Benachrichtigungen über Dependabot alerts zu Repositorys zu erhalten, musst du diese Repositorys überwachen und den Erhalt von Benachrichtigungen für „Alle Aktivitäten“ abonnieren oder benutzerdefinierte Einstellungen so konfigurieren, dass sie „Sicherheitswarnungen“ umfassen. Weitere Informationen finden Sie unter Benachrichtigungen konfigurieren. Du kannst die Übermittlungsmethode für Benachrichtigungen sowie die Häufigkeit auswählen, in der die Benachrichtigungen an dich gesendet werden. Weitere Informationen findest du unter Konfigurieren von Benachrichtigungen für Dependabot-Warnungen.

Du kannst auch alle Dependabot alerts anzeigen, die einer bestimmten Empfehlung in der GitHub Advisory Database entsprechen. Weitere Informationen findest du unter Browsing security advisories in the GitHub Advisory Database.

Weitere Informationsquellen