Konfigurieren von Dependabot-Sicherheitsupdates

In diesem Artikel

Du kannst Dependabot security updates oder manuelle Pull Requests verwenden, um anfällige Abhängigkeiten einfach zu aktualisieren.

Informationen zum Konfigurieren von Dependabot security updates

Du kannst Dependabot security updates für jedes Repository aktivieren, das Dependabot alerts und das Abhängigkeitsdiagramm verwendet. Weitere Informationen findest du unter Informationen zu Dependabot-Sicherheitsupdates.

Du kannst Dependabot security updates für ein einzelnes Repository oder für alle Repositorys, die sich im Besitz deines persönliches Konto oder der Organisation befinden, aktivieren oder deaktivieren. Weitere Informationen zum Aktivieren von Sicherheitsfeatures in einer Organisation findest du unter Schützen deiner Organisation.

Hinweis: Wenn Dependabot security updates für ein Repository aktiviert sind, versucht Dependabot automatisch, Pull Requests zu öffnen, um alle offenen Dependabot-Warnung mit einem verfügbaren Patch aufzulösen. Wenn Sie lieber anpassen möchten, für welche Warnungen Dependabot Pull Requests öffnen soll, sollten Sie Dependabot security updates deaktiviert lassen und eine Warnungsregel erstellen. Weitere Informationen findest du unter Customizing auto-triage rules to prioritize Dependabot alerts.

Dependabot und alle verwandten Funktionen werden von Nutzungsbedingungen zu GitHub behandelt.

Unterstützte Repositorys

GitHub aktiviert automatisch Dependabot security updates für neu erstellte Repositorys, wenn dein persönliches Konto oder deine Organisation die Option Automatisch für neue Repositorys aktivieren für Dependabot security updates aktiviert hat. Weitere Informationen findest du unter Verwalten von Dependabot security updates für deine Repositorys.

Wenn du einen Fork eines Repositorys mit aktivierten Sicherheitsupdates erstellst, deaktiviert GitHub automatisch Dependabot security updates für den Fork. Anschließend kannst du entscheiden, ob Dependabot security updates für den bestimmten Fork aktiviert werden sollen.

Wenn Sicherheitsupdates für dein Repository nicht aktiviert sind und du den Grund dafür nicht kennst, versuche zunächst, sie mithilfe der weiter unten bereitgestellten Schritt-für-Schritt-Anleitungen zu aktivieren. Sollten Sicherheitsupdates trotzdem nicht funktionieren, kannst du dich an folgende Stelle wenden: GitHub-Support.

Verwalten von Dependabot security updates für deine Repositorys

Du kannst Dependabot security updates für alle geeigneten Repositorys deaktivieren, die zu deinem persönlichen Konto oder zu deiner Organisation gehören. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein persönliches Konto oder Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.

Du kannst Dependabot security updates auch für ein einzelnes Repository aktivieren oder deaktivieren.

Aktivieren oder Deaktivieren von Dependabot security updates für ein einzelnes Repository

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Klicke unter „Codesicherheit und -analyse“ rechts neben „Dependabot-Sicherheitsupdates“ auf Aktivieren, um das Feature zu aktivieren, oder auf Deaktivieren, um es zu deaktivieren. Bei öffentlichen Repositorys ist die Schaltfläche deaktiviert, wenn das Feature immer aktiviert ist.

Überschreiben des Standardverhaltens mit einer Konfigurationsdatei

Du kannst das Standardverhalten von Dependabot security updates außer Kraft setzen, indem du deinem Repository eine dependabot.yml-Datei hinzufügst. Weitere Informationen findest du unter Konfigurationsoptionen für die Datei dependabot.yml.

Wenn du nur Sicherheitsupdates benötigst und die Versionsupdates ausschließen möchtest, kannst du open-pull-requests-limit auf 0 festlegen, um Versionsupdates für ein angegebenes package-ecosystem zu verhindern. Weitere Informationen findest du unter Konfigurationsoptionen für die Datei dependabot.yml.

# Example configuration file that:
#  - Has a private registry
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
registries:
  example:
    type: npm-registry
    url: https://example.com
    token: ${{secrets.NPM_TOKEN}}
updates:
  - package-ecosystem: "npm"
    directory: "/src/npm-project"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "lodash"
        # For Lodash, ignore all updates
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0
    registries:
      - example

Hinweis: Damit Dependabot diese Konfiguration für Sicherheitsupdates verwenden kann, muss directory der Pfad zu den Manifestdateien sein, und es sollte kein target-branch angegeben werden.

Weitere Informationen zur Konfigurationsoptionen, die für Sicherheitsupdates verfügbar sind, findest du in der Tabelle unter Konfigurationsoptionen für die Datei dependabot.yml.

Weiterführende Themen