Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Aktuelle Informationen findest du in der englischsprachigen Dokumentation.
All products
Codesicherheit

Informationen zur Abhängigkeitsüberprüfung

In diesem Artikel

Mit der Abhängigkeitsüberprüfung kannst du unsichere Abhängigkeiten erfassen, bevor du sie in deine Umgebung einführst, und Informationen zu Lizenz, Abhängigkeiten und deren Alter bereitstellen.

Abhängigkeitsreviews sind in GitHub Enterprise Cloud für öffentliche Repositorys enthalten. Um Abhängigkeitsreviews in privaten Repositorys zu verwenden, die sich im Besitz von Organisationen befinden, musst du über eine Lizenz für GitHub Advanced Security verfügen. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Informationen zur Abhängigkeitsüberprüfung

Die Abhängigkeitsüberprüfung hilft Dir, Abhängigkeitsänderungen und die Sicherheitswirkung dieser Änderungen bei jedem Pull Request zu verstehen. Sie bietet eine leicht verständliche Visualisierung von Abhängigkeitsänderungen mit Rich-Diff auf der Registerkarte „Geänderte Dateien“ eines Pull Requests. Die Abhängigkeitsüberprüfung informiert Dich über:

  • Welche Abhängigkeiten hinzugefügt, entfernt oder aktualisiert wurden, sowie die Veröffentlichungsdaten.
  • Wie viele Projekte diese Komponenten verwenden.
  • Sicherheitsrisikodaten für diese Abhängigkeiten.

Wenn ein Pull Request auf den Standardzweig deines Repositorys abzielt und Änderungen an Paketmanifesten oder Sperrdateien enthält, kannst du eine Abhängigkeitsüberprüfung anzeigen, um zu sehen, was sich geändert hat. Die Abhängigkeitsüberprüfung enthält Details zu Änderungen an indirekten Abhängigkeiten in Sperrdateien und sagt Dir, ob eine der hinzugefügten oder aktualisierten Abhängigkeiten bekannte Sicherheitslücken enthält.

Manchmal möchtest du vielleicht nur die Version einer Abhängigkeit in einem Manifest aktualisieren und einen Pull Request erstellen. Wenn die aktualisierte Version dieser direkten Abhängigkeit jedoch auch aktualisierte Abhängigkeiten hat, kann dein Pull Request mehr Änderungen enthalten, als du erwartet hast. Die Überprüfung der Abhängigkeiten für jede Manifest- und Sperrdatei bietet eine einfache Möglichkeit zu sehen, was sich geändert hat und ob eine der neuen Abhängigkeitsversionen bekannte Systemanfälligkeiten enthält.

Indem du die Abhängigkeitsüberprüfungen in einem Pull Request überprüfst und alle Abhängigkeiten änderst, die als anfällig gekennzeichnet sind, kannst du verhindern, dass deinem Projekt Sicherheitsrisiken hinzugefügt werden. Weitere Informationen zur Funktionsweise der Abhängigkeitsüberprüfung findest du unter Überprüfen von Abhängigkeitsänderungen in einem Pull Request.

Weitere Informationen zum Konfigurieren der Abhängigkeitsüberprüfung findest du unter Konfigurieren der Abhängigkeitsüberprüfung.

Dependabot alerts findet Sicherheitsrisiken, die sich bereits in deinen Abhängigkeiten befinden. Es ist jedoch wesentlich besser, die Einführung potenzieller Probleme zu vermeiden, als später Probleme beheben zu müssen. Weitere Informationen zu Dependabot alerts findest du unter Informationen zu Dependabot-Warnungen.

Abhängigkeitsüberprüfung unterstützt dieselben Sprachen und Paketverwaltungsökosysteme wie das Abhängigkeitsdiagramm. Weitere Informationen findest du unter Informationen zum Abhängigkeitsdiagramm.

Weitere Informationen zu den auf GitHub Enterprise Cloud verfügbaren Lieferkettenfeatures findest du unter Informationen zur Lieferkettensicherheit.

Aktivieren der Abhängigkeitsüberprüfung

Das Abhängigkeitsüberprüfungsfeature wird verfügbar, wenn du das Abhängigkeitsdiagramm aktivierst. Weitere Informationen findest du unter Aktivieren des Abhängigkeitsdiagramms.

Erzwingung der Abhängigkeitsüberprüfung

Die Aktion ist für alle öffentlichen Repositorys sowie für private Repositorys, für die GitHub Advanced Security aktiviert ist, verfügbar.

Du kannst die Abhängigkeitsüberprüfungsaktion in deinem Repository verwenden, um Abhängigkeitsüberprüfungen bei deinen Pull Requests zu erzwingen. Die Aktion sucht nach anfälligen Versionen von Abhängigkeiten, die durch Paketversionsänderungen in Pull Requests eingeführt wurden, und warnt dich vor den damit verbundenen Sicherheitsrisiken. So erhältst du einen besseren Überblick darüber, was sich in einem Pull Request ändert, und kannst verhindern, dass deinem Repository Sicherheitsrisiken hinzugefügt werden. Weitere Informationen findest du unter dependency-review-action.

Screenshot: Workflowausführung, die die Abhängigkeitsüberprüfungsaktion verwendet

Standardmäßig tritt bei der Abhängigkeitsüberprüfungsaktion-Überprüfung ein Fehler auf, wenn sie anfällige Pakete erkennt. Bei einer fehlgeschlagenen Überprüfung wird das Zusammenführen eines Pull Requests blockiert, wenn der bzw. die Repositorybesitzer*in das Bestehen der Abhängigkeitsüberprüfung verlangt. Weitere Informationen findest du unter About protected branches.

Die Aktion nutzt die Abhängigkeitsüberprüfung der REST-API, um die Abhängigkeitsänderungen zwischen dem Basis-Commit und dem Head-Commit zu ermitteln. Mit der Abhängigkeitsüberprüfungs-API kannst du die Abhängigkeitsänderungen zwischen zwei beliebigen Commits eines Repositorys abrufen, einschließlich der Daten zu Sicherheitsrisiken. Weitere Informationen findest du unter Abhängigkeitsdiagramm.

Du kannst die Abhängigkeitsüberprüfungsaktion konfigurieren, sodass sie deinen Anforderungen besser entspricht. Du kannst z. B. den Schweregrad angeben, der dazu führt, dass die Aktion fehlschlägt, oder eine Zulassungs- oder Ablehnungsliste für die zu überprüfenden Lizenzen festlegen. Weitere Informationen findest du unter Konfigurieren der Abhängigkeitsüberprüfung.