Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Informationen zu Dependabot-Warnungen

GitHub versendet Dependabot alerts, wenn erkannt wird, dass dein Repository eine anfällige Abhängigkeit oder Malware verwendet.

Dependabot alerts sind kostenlos für alle Repositorys auf GitHub.com.

Informationen zu Dependabot alerts

Hinweis: Hinweise zu Schadsoftware sind derzeit in der Betaphase, und Änderungen sind vorbehalten.

Durch Dependabot alerts erfährst du, dass dein Code von einem unsicheren Paket abhängt.

Wenn dein Code von einem Paket mit einem Sicherheitsrisiko abhängt, kann dies eine Reihe von Problemen für dein Projekt oder die Personen verursachen, die es verwenden. Du solltest so schnell wie möglich auf eine sichere Version des Pakets upgraden. Wenn dein Code Schadsoftware verwendet, musst du das Paket durch eine sichere Alternative ersetzen.

Weitere Informationen findest du unter Durchsuchen von Sicherheitsempfehlungen in GitHub Advisory Database.

Erkennen unsicherer Abhängigkeiten

Dependabot führt eine Überprüfung zum Erkennen von unsicheren Abhängigkeiten durch und sendet Dependabot alerts, wenn:

  • In der GitHub Advisory Database eine neue Empfehlung hinzugefügt wird. Weitere Informationen findest du unter Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database.

    Hinweis: Nur Empfehlungen, die von GitHub überprüft wurden, lösen Dependabot alerts aus.

  • Das Abhängigkeitsdiagramm für ein Repository wird geändert. Wenn ein Mitwirkender beispielsweise einen Commit veröffentlicht, um die Pakete oder Versionen zu ändern, von denen er abhängt, oder wenn sich der Code einer der Abhängigkeiten ändert. Weitere Informationen findest du unter Informationen zum Abhängigkeitsdiagramm.

Darüber hinaus kann GitHub jegliche Abhängigkeiten, die in einem Pull Request dem Standardbranch eines Repositorys hinzugefügt, darin aktualisiert oder daraus entfernt werden, überprüfen und alle Änderungen markieren, die die Sicherheit deines Projekts beeinträchtigen könnten. So kannst du gefährliche Abhängigkeiten oder Malware erkennen und behandeln, bevor sie deine Codebasis erreichen, und nicht erst danach. Weitere Informationen findest du unter Überprüfen von Abhängigkeitsänderungen in einem Pull Request.

Eine Liste der Ökosysteme, in denen GitHub unsichere Abhängigkeiten erkennen kann, findest du unter Ökosysteme unterstützter Pakete.

Hinweis: Du musst dein Manifest und deine Sperrdateien auf dem neuesten Stand halten. Wenn das Abhängigkeitsdiagramm deine aktuellen Abhängigkeiten und Versionen nicht genau widerspiegelt, kannst du Warnungen zu unsicheren Abhängigkeiten verpassen, die du verwendest. Möglicherweise erhältst du auch Warnungen für Abhängigkeiten, die du nicht mehr verwendest.

Konfigurieren von Dependabot alerts

GitHub erkennt Abhängigkeiten mit Sicherheitsrisiken und Malware in öffentlichen Repositorys und zeigt das Abhängigkeitsdiagramm an, generiert standardmäßig jedoch keine Dependabot alerts. Repositorybesitzerinnen oder Personen mit Administratorzugriff können Dependabot alerts für öffentliche Repositorys aktivieren. Besitzerinnen privater Repositorys oder Personen mit Administratorzugriff können Dependabot alerts aktivieren, indem sie das Abhängigkeitsdiagramm und Dependabot alerts für ihre Repositorys aktivieren.

Du kannst Dependabot alerts auch für alle Repositorys aktivieren oder deaktivieren, die zu deinem Benutzerkonto oder deiner Organisation gehören. Weitere Informationen findest du unter Konfigurieren von Dependabot alerts.

Informationen zu Zugriffsanforderungen für Aktionen im Zusammenhang mit Dependabot alerts findest du unter Repositoryrollen für eine Organisation.

GitHub beginnt sofort damit, das Abhängigkeitsdiagramm zu generieren, und generiert Warnungen für alle Abhängigkeiten mit Sicherheitsrisiken, sobald sie identifiziert werden. Das Diagramm wird in der Regel innerhalb weniger Minuten aufgefüllt, dies kann bei Repositorys mit vielen Abhängigkeiten jedoch länger dauern. Weitere Informationen findest du unter Verwalten von Datenverwendungseinstellungen für dein privates Repository.

Wenn GitHub eine Abhängigkeit mit Sicherheitsrisiken oder Schadsoftware erkennt, wird eine Dependabot-Warnung generiert und auf der Registerkarte Sicherheit für das Repository und im Abhängigkeitsdiagramm des Repositorys angezeigt. Die Warnung enthält einen Link zur betroffenen Datei im Projekt sowie Informationen zu einer Version, bei der das Problem behoben wurde. GitHub kann auch die Verwalter betroffener Repositorys über die neue Warnung gemäß ihren Benachrichtigungseinstellungen benachrichtigen. Weitere Informationen findest du unter Konfigurieren von Benachrichtigungen für Dependabot alerts.

Bei Repositorys, für die Dependabot security updates aktiviert ist, kann die Warnung außerdem einen Link zu einem Pull Request enthalten, um die Manifest- oder Sperrdatei auf die Mindestversion zu aktualisieren, die die Sicherheitslücke behebt. Weitere Informationen findest du unter Informationen zu Dependabot security updates.

Hinweis: Die Sicherheitsfeatures von GitHub können nicht garantieren, dass alle Sicherheitsrisiken und jede Art von Malware erkannt wird. Die GitHub Advisory Database wird aktiv verwaltet, und Warnungen werden mithilfe der aktuellsten Informationen generiert. Allerdings kann nicht alles erkannt sowie kein Zeitrahmen zur Benachrichtigung über bekannte Sicherheitsrisiken garantiert werden. Diese Features können das Überprüfen der einzelnen Abhängigkeiten auf potenzielle Sicherheitsrisiken oder andere Probleme durch Menschen nicht ersetzen. Es wird empfohlen, sich bei Bedarf mit einem Sicherheitsdienst in Verbindung zu setzen oder eine gründliche Überprüfung der Abhängigkeiten durchzuführen.

Zugriff auf Dependabot alerts

Du kannst alle Warnungen, die sich auf ein bestimmtes Projekt auswirken, auf der Registerkarte Sicherheit des Repositorys oder im Abhängigkeitsdiagramm des Repositorys sehen. Weitere Informationen findest du unter Anzeigen und Aktualisieren von Dependabot alerts.

Personen mit Administratorberechtigungen in den betroffenen Repositorys werden standardmäßig über neue Dependabot alerts benachrichtigt. GitHub teilt ermittelte Abhängigkeiten mit Sicherheitsrisiken für Repositorys nie öffentlich mit. Du kannst Dependabot alerts auch für weitere Personen oder Teams sichtbar machen, die mit Repositorys in deinem Besitz arbeiten oder für die du Administratorberechtigungen hast. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.

Um Benachrichtigungen über Dependabot alerts zu Repositorys zu erhalten, musst du diese Repositorys überwachen und den Erhalt von Benachrichtigungen für „Alle Aktivitäten“ abonnieren oder benutzerdefinierte Einstellungen so konfigurieren, dass sie „Sicherheitswarnungen“ umfassen. Weitere Informationen findest du unter Konfigurieren von Überwachungseinstellungen für ein einzelnes Repository. Du kannst die Übermittlungsmethode für Benachrichtigungen sowie die Häufigkeit auswählen, in der die Benachrichtigungen an dich gesendet werden. Weitere Informationen findest du unter Konfigurieren von Benachrichtigungen für Dependabot alerts.

Du kannst auch alle Dependabot alerts anzeigen, die einer bestimmten Empfehlung in der GitHub Advisory Database entsprechen. Weitere Informationen findest du unter Durchsuchen von Sicherheitsempfehlungen in GitHub Advisory Database.

Weitere Informationsquellen