Schnellstartanleitung für Dependabot

Du kannst Dependabot verwenden, um benachrichtigt zu werden, wenn dein Repository eine Softwareabhängigkeit mit einem bekannten Sicherheitsrisiko verwendet. Dieser Leitfaden hilft dir, Dependabot für ein Repository zu aktivieren und gemeldete Warnungen zu untersuchen.

Wer kann dieses Feature verwenden?

Dependabot alerts sind kostenlos für alle Repositorys auf GitHub.com. Erweiterte Funktionen, z. B. die Möglichkeit zum Erstellen von Benutzerdefinierte Regeln für die automatische Triage für Dependabot alerts, sind nur für öffentliche Repositorys verfügbar (kostenlos).

In diesem Artikel

Informationen zu Dependabot

Dieser Schnellstartleitfaden leitet dich durch das Einrichten und Aktivieren von Dependabot und das Anzeigen von Dependabot alerts und Updates für ein Repository.

Dependabot besteht aus drei verschiedenen Features, mit denen du Abhängigkeiten verwalten kannst:

  • Dependabot alerts informiert dich über Sicherheitsrisiken in den Abhängigkeiten, die du in deinem Repository verwendest.
  • Dependabot security updates löst automatisch Pull Requests aus, um von dir verwendete Abhängigkeiten zu aktualisieren, die bekannte Sicherheitsrisiken aufweisen.
  • Dependabot version updates löst automatisch Pull Requests aus, um deine Abhängigkeiten auf dem neuesten Stand zu halten.

Voraussetzungen

Für diesen Leitfaden verwenden wir ein Demorepository, um zu veranschaulichen, wie Dependabot Sicherheitsrisiken in Abhängigkeiten findet, wo Dependabot alerts auf GitHub angezeigt werden und wie du diese Warnungen untersuchen, beheben oder schließen kannst.

Du musst zunächst das Demorepository forken.

  1. Navigiere zu https://github.com/dependabot/demo.
  2. Klicke oben auf der Seite rechts auf Fork.
  3. Wähle einen Besitzerin aus (du kannst dein persönliches GitHub-Konto auswählen) und gib einen Repositorynamen ein. Weitere Informationen zum Forken von Repositorys findest du unter Ein Repository forken.
  4. Klicke auf Fork erstellen.

Aktivieren von Dependabot für dein Repository

Du musst die folgenden Schritte für das Repository ausführen, das du unter Voraussetzungen geforkt hast.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Klicke unter „Codesicherheit und -analyse“ für Dependabot alerts, Dependabot security updates und Dependabot version updates rechts neben Dependabot alerts auf Aktivieren.

  5. Wenn du daran interessiert bist, mit Dependabot version updates zu experimentieren, klicke optional auf .github/dependabot.yml. Dadurch wird die Standardkonfigurationsdatei dependabot.yml im Verzeichnis /.github deines Repositorys erstellt. Um Dependabot version updates für dein Repository zu aktivieren, konfigurierst du diese Datei in der Regel entsprechend deiner Anforderungen, indem du die Standarddatei bearbeitest und deine Änderungen committest. Ein Beispiel findest du im Codeausschnitt in Konfigurieren von Versionsupdates von Dependabot.

Hinweis: Wenn das Abhängigkeitsdiagramm noch nicht für das Repository aktiviert ist, aktiviert GitHub es automatisch, wenn du Dependabot aktivierst.

Weitere Informationen zum Konfigurieren dieser Dependabot-Features findest du unter Konfigurieren von Dependabot-Warnungen, Konfigurieren von Dependabot-Sicherheitsupdates und Konfigurieren von Versionsupdates von Dependabot.

Anzeigen von Dependabot alerts für dein Repository

Wenn Dependabot alerts für ein Repository aktiviert ist, kannst du Dependabot alerts auf der Registerkarte „Sicherheit“ für das Repository sehen. Du kannst das geforkte Repository verwenden, für das du Dependabot alerts im vorherigen Abschnitt aktiviert hast.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicke auf der Randleiste der Sicherheitsübersicht auf Dependabot . Wenn diese Option fehlt, bedeutet das, dass du keinen Zugriff auf die Sicherheitswarnungen hast und dir Zugriff gewährt werden muss. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.

    Screenshot der Sicherheitsübersicht mit dunkelorange umrandeter Registerkarte „Dependabot“.

  4. Überprüfe die offenen Warnungen auf der Seite Dependabot alerts. Standardmäßig wird auf der Seite die Registerkarte Offen angezeigt, auf der die offenen Warnungen aufgeführt sind. (Du kannst alle geschlossenen Warnungen anzeigen, indem du auf Geschlossen klickst.)

    Screenshot: Liste der Dependabot-Warnungen für das Demorepository

    Du kannst Dependabot alerts in der Liste filtern, indem du eine Vielzahl von Filtern oder Bezeichnungen verwendest. Weitere Informationen finden Sie unter „Anzeigen und Aktualisieren von Dependabot-Warnungen“ Sie können auch Dependabot auto-triage rules verwenden, um False Positive-Warnungen oder nicht relevante Warnungen herauszufiltern. Weitere Informationen finden Sie unter Über Auto-Triage-Regeln von Dependabot.

  5. Klicke in der Datei javascript/package-lock.json auf die Warnung „Command Injection in lodash“ in der javascript/package-lock.json-Datei. Auf der Detailseite für die Warnung werden die folgenden Informationen angezeigt (beachte, dass einige Informationen möglicherweise nicht für alle Warnungen gelten):

    • Ob Dependabot einen Pull Request erstellt hat, der das Sicherheitsrisiko behebt. Du kannst das vorgeschlagene Sicherheitsupdate überprüfen, indem du auf Sicherheitsupdate überprüfen klickst.
    • Beteiligtes Paket
    • Betroffene Versionen
    • Gepatchte Version
    • Eine kurze Beschreibung des Sicherheitsrisikos

    Screenshot der detaillierten Seite einer Warnung im Demorepository mit den Hauptinformationen.

  6. Optional kannst du auch die Informationen auf der rechten Seite untersuchen. Einige der im Screenshot gezeigten Informationen gelten möglicherweise nicht für jede Warnung.

    • severity
    • CVSS-Metriken: Wir verwenden CVSS-Ebenen, um Schweregrade zuzuweisen. Weitere Informationen findest du unter Informationen zu GitHub Advisory Database.
    • Tags
    • Schwachstellen: Liste der CWEs im Zusammenhang mit dem Sicherheitsrisiko, falls zutreffend
    • CVE-ID: eindeutiger CVE-Bezeichner des Sicherheitsrisikos, falls zutreffend
    • GHSA-ID: eindeutiger Bezeichner der entsprechenden Empfehlung in der GitHub Advisory Database. Weitere Informationen findest du unter Informationen zu GitHub Advisory Database.
    • Option zum Navigieren zur Empfehlung in der GitHub Advisory Database
    • Option, um alle Repositorys anzuzeigen, die von diesem Sicherheitsrisiko betroffen sind
    • Option zum Vorschlagen von Verbesserungen in der GitHub Advisory Database

    Screenshot der detaillierten Seite einer Warnung im Demorepository mit den Informationen, die auf der rechten Seite angezeigt werden.

Weitere Informationen zum Anzeigen, Priorisieren und Sortieren von Dependabot alerts findest du unter Anzeigen und Aktualisieren von Dependabot-Warnungen.

Beheben oder Schließen einer Dependabot-Warnung

Du kannst Dependabot alerts in GitHub beheben oder schließen. Wir verwenden weiterhin das geforkte Repository als Beispiel und die im vorherigen Abschnitt beschriebene Warnung „Command Injection in lodash“.

  1. Navigiere zur Registerkarte Dependabot alerts für das Repository. Weitere Informationen findest du oben im Abschnitt Anzeigen von Dependabot alerts für dein Repository.
  2. Klicke auf eine Warnung.
  3. Klicke in der Datei javascript/package-lock.json auf die Warnung „Command Injection in lodash“ in der javascript/package-lock.json-Datei.
  4. Sieh dir die Warnung an. Du hast folgende Möglichkeiten:

    • Du kannst das vorgeschlagene Sicherheitsupdate überprüfen, indem du auf Sicherheitsupdate überprüfen klickst. Dadurch wird der Pull Request geöffnet, der von Dependabot mit dem Sicherheits-Hotfix generiert wurde.

      Screenshot des Pull Requests, der von Dependabot generiert wurde, um das durch die ausgewählte Warnung hervorgehobene Sicherheitsrisiko zu beheben.

      • In der Beschreibung des Pull Requests kannst du auf Commits klicken, um die im Pull Request enthaltenen Commits zu untersuchen.
      • Du kannst auch auf Dependabot-Befehle und -Optionen klicken, um mehr über die Befehle zu erfahren, die du für die Interaktion mit dem Pull Request verwenden kannst.
      • Wenn du zum Aktualisieren deiner Abhängigkeit und zum Beheben deiner Schwachstelle bereit bist, führe den Merge für den Pull Request durch.

    • Wenn du die Warnung schließen möchtest

      • Gehe zur Seite mit den Warndetails.

      • Klicke in der oberen rechten Ecke auf Warnung schließen.

        Screenshot der Seite mit den Warnungsdetails inkl. Schaltfläche Warnung schließen, Dropdownmenüoptionen und Schließen-Kommentarfeld mit einem dunkel orangefarbenen Umriss.

      • Wähle einen Grund für das Schließen der Warnung aus.

      • Füge optional einen Kommentar hinzu. Der Kommentar zum Schließen wird der Zeitleiste der Warnung hinzugefügt und kann bei Prüfungen und Berichterstellungen als Begründung verwendet werden.

      • Klicke auf Warnung schließen. Die Warnung wird auf der Registerkarte Offen der Warnungsliste nicht mehr angezeigt, aber Sie sehen sie auf der Registerkarte Geschlossen.

Weitere Informationen zum Überprüfen und Aktualisieren von Dependabot alerts findest du unter Anzeigen und Aktualisieren von Dependabot-Warnungen.

Problembehandlung

Möglicherweise musst du Problembehandlungen durchführen, wenn:

  • Dependabot daran gehindert wird, einen Pull Request zu erstellen, um eine Warnung zu beheben, oder
  • die von Dependabot gemeldeten Informationen nicht diejenigen sind, die du erwartest.

Weitere Informationen findest du unter Problembehandlung bei Dependabot-Fehlern, Problembehandlung bei der Erkennung von anfälligen Abhängigkeiten.

Nächste Schritte

Weitere Informationen zum Konfigurieren von Dependabot-Updates findest du unter Konfigurieren von Dependabot-Sicherheitsupdates und Konfigurieren von Versionsupdates von Dependabot.

Weitere Informationen zum Konfigurieren von Dependabot für eine Organisation findest du unter Konfigurieren von Dependabot-Warnungen.

Weitere Informationen zur Anzeige von Pull Requests, die von Dependabot geöffnet wurden, findest du unter Verwalten von Pull Requests für Abhängigkeitsupdates.

Weitere Informationen zu den Sicherheitsempfehlungen, die Teil von Dependabot alerts sind, findest du unter Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database.

Weitere Informationen zum Konfigurieren der Benachrichtigungen zu Dependabot alerts findest du unter Konfigurieren von Benachrichtigungen für Dependabot-Warnungen.