Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Aktuelle Informationen findest du in der englischsprachigen Dokumentation.

Überprüfen von Abhängigkeitsänderungen in einem Pull Request

Wenn ein Pull Request Änderungen an Abhängigkeiten enthält, kannst du eine Zusammenfassung dessen anzeigen, was geändert wurde,und ob bekannte Sicherheitsrisiken in einer der Abhängigkeiten vorhanden sind.

Abhängigkeitsreviews sind in GitHub Enterprise Cloud für öffentliche Repositorys enthalten. Um Abhängigkeitsreviews in privaten Repositorys zu verwenden, die sich im Besitz von Organisationen befinden, musst du über eine Lizenz für GitHub Advanced Security verfügen. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Informationen zur Abhängigkeitsüberprüfung

Die Abhängigkeitsüberprüfung hilft Dir, Abhängigkeitsänderungen und die Sicherheitswirkung dieser Änderungen bei jedem Pull Request zu verstehen. Sie bietet eine leicht verständliche Visualisierung von Abhängigkeitsänderungen mit Rich-Diff auf der Registerkarte „Geänderte Dateien“ eines Pull Requests. Die Abhängigkeitsüberprüfung informiert Dich über:

  • Welche Abhängigkeiten hinzugefügt, entfernt oder aktualisiert wurden, sowie die Veröffentlichungsdaten.

  • Wie viele Projekte diese Komponenten verwenden.

  • Sicherheitsrisikodaten für diese Abhängigkeiten.

    Bevor du die Abhängigkeitsüberprüfung in einem privaten Repository verwenden kannst, musst du das Abhängigkeitsdiagramm aktivieren. Weitere Informationen findest du unter Untersuchen der Abhängigkeiten eines Repositorys.

Die Abhängigkeitsüberprüfung ermöglicht dir, nach „links zu wechseln“. Du kannst die bereitgestellten prädiktiven Informationen verwenden, um Abhängigkeiten mit Sicherheitsrisiken zu erfassen, bevor sie in die Produktion eingehen. Weitere Informationen findest du unter Informationen zur Abhängigkeitsüberprüfung.

Du kannst die Abhängigkeitsüberprüfungsaktion verwenden, um Abhängigkeitsüberprüfungen bei Pull Requests in deinem Repository zu erzwingen. Abhängigkeitsüberprüfungsaktion überprüft deine Pull Requests auf Abhängigkeitsänderungen und löst einen Fehler aus, wenn neue Abhängigkeiten bekannte Sicherheitsrisiken aufweisen. Die Aktion wird von einem API-Endpunkt unterstützt, der die Abhängigkeiten zwischen zwei Revisionen vergleicht und etwaige Unterschiede meldet.

Weitere Informationen zur Aktion und zum API-Endpunkt findest du in der dependency-review-action-Dokumentation und unter Abhängigkeitsüberprüfung in der API-Dokumentation.

Du kannst die Abhängigkeitsüberprüfungsaktion so konfigurieren, dass sie deinen Anforderungen besser entspricht, indem du den Typ des Sicherheitsrisikos angibst, das du abfangen möchtest. Weitere Informationen findest du unter Konfigurieren der Abhängigkeitsüberprüfung.

Überprüfen von Abhängigkeiten in einem Pull Request

  1. Klicke unter dem Namen deines Repositorys auf Pull Requests. Auswählen der Registerkarte für Issues und Pull Requests 1. Klicke in der Liste der Pull Requests auf den Pull Request, den Du überprüfen möchtest. 1. Klicke im Pull Request auf Dateien geändert. Registerkarte „Pull Request-Dateien geändert“

  2. Wenn der Pull Request viele Dateien enthält, verwende das Dropdownmenü Dateifilter, um alle Dateien auszublenden, die keine Abhängigkeiten aufzeichnen. Dadurch wird es einfacher, die Überprüfung auf die Änderungen in den Abhängigkeiten zu konzentrieren.

    Das Dateifiltermenü: Die Abhängigkeitsüberprüfung bietet eine klarere Ansicht dessen, was sich in großen Sperrdateien geändert hat, wobei das Quell-Diff standardmäßig nicht gerendert wird.

    Hinweis: Abhängigkeitsüberprüfungs-Rich-Diffs sind für committete statische JavaScript-Dateien wie jquery.js nicht verfügbar.

  3. Zeige rechts neben dem Header für eine Manifest- oder Sperrdatei die Abhängigkeitsüberprüfung an, indem du auf die Rich-Diff-Schaltfläche klickst.

    Die Rich-Diff-Schaltfläche

  4. Überprüfe die in der Abhängigkeitsüberprüfung aufgeführten Abhängigkeiten.

    Sicherheitsrisikowarnungen in einer Abhängigkeitsüberprüfung

    Alle hinzugefügten oder geänderten Abhängigkeiten, die Sicherheitsrisiken aufweisen, werden zuerst aufgelistet, sortiert nach Schweregrad und dann nach Abhängigkeitsnamen. Dies bedeutet, dass die Abhängigkeiten mit dem höchsten Schweregrad in einer Abhängigkeitsüberprüfung immer oben liegen. Andere Abhängigkeiten werden alphabetisch nach Abhängigkeitsnamen aufgeführt.

    Das Symbol neben jeder Abhängigkeit zeigt an, ob die Abhängigkeit in diesem Pull Request hinzugefügt (), aktualisiert () oder entfernt () wurde.

    Diese Informationen umfassen Folgendes:

    • Die Version, oder der Versionsbereich der neuen, aktualisierten oder gelöschten Abhängigkeit.
    • Für eine bestimmte Version einer Abhängigkeit:
      • Das Alter dieser Veröffentlichung der Abhängigkeit.
      • Die Anzahl der Projekte, die von dieser Software abhängig sind. Diese Informationen werden aus dem Abhängigkeitsdiagramm abgeleitet. Wenn du die Anzahl der Abhängigen überprüfst, kannst du vermeiden, versehentlich die falsche Abhängigkeit hinzuzufügen.
      • Die von dieser Abhängigkeit verwendete Lizenz, wenn diese Informationen verfügbar sind. Dies ist nützlich, wenn du verhindern möchtest, dass Code mit bestimmten Lizenzen in deinem Projekt verwendet wird.

    Wenn eine Abhängigkeit ein bekanntes Sicherheitsrisiko aufweist, enthält die Warnmeldung Folgendes:

    • Eine kurze Beschreibung des Sicherheitsrisikos.
    • Eine CVE- oder GitHub Security Advisories-Identifikationsnummer (Common Vulnerabilities and Exposures oder GHSA). Du kannst auf diese ID klicken, um mehr über das Sicherheitsrisiko zu erfahren.
    • Der Schweregrad des Sicherheitsrisikos.
    • Die Version der Abhängigkeit, in der das Sicherheitsrisiko behoben wurde. Wenn du einen Pull Request für jemanden überprüfst, bitte den Mitwirkenden, die Abhängigkeit auf die gepatchte Version oder eine spätere Version zu aktualisieren.
  5. Du solltest auch das Quell-Diff überprüfen, da es möglicherweise Änderungen an der Manifest- oder Sperrdatei gibt, die keine Abhängigkeiten ändern. Zudem besteht die Möglichkeit, dass Abhängigkeiten verfügbar sind, die GitHub nicht analysieren kann und die daher nicht in der Abhängigkeitsüberprüfung angezeigt werden.

    Klicke auf die Schaltfläche , um zur Ansicht für das Quell-Diff zurückzukehren.

    Schaltfläche für das Quell-Diff