Note
Dein Websiteadministrator muss Dependabot updates für Ihre GitHub Enterprise Server-Instance einrichten, damit du dieses Feature verwenden kannst. Weitere Informationen finden Sie unter Aktivieren von Dependabot für dein Unternehmen.
Möglicherweise kannst du Dependabot updates nicht aktivieren oder deaktivieren, wenn ein Unternehmensbesitzer eine Richtlinie auf Unternehmensebene festgelegt hat. Weitere Informationen finden Sie unter Erzwingen von Richtlinien für die Codesicherheit und -analyse für Unternehmen.
Informationen zu Dependabot security updates
Mit Dependabot security updates kannst du anfällige Abhängigkeiten in deinem Repository leichter beheben. Sie fügen Ihrem Repository in der Regel eine dependabot.yml-Datei hinzu, um Dependabot security updates zu aktivieren. Anschließend konfigurieren Sie Optionen in dieser Datei, um Dependabot mitzuteilen, wie Sie Ihr Repository verwalten.
Weitere Informationen zu den unterstützten Repositorys und Ökosysteme findest du unter Von Dependabot unterstützte Ökosysteme und Repositorys.
Wenn Sie Dependabot security updates aktivieren und eine Dependabot-Warnung für eine anfällige Abhängigkeit im Abhängigkeitsdiagramm deines Repositorys ausgelöst wird, versucht Dependabot automatisch, diese zu beheben. Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen und Konfigurieren von Dependabot-Sicherheitsupdates.
Note
Es gibt keine Interaktion zwischen den in der dependabot.yml-Datei und Dependabot-Sicherheitswarnungen angegebenen Einstellungen, außer der Tatsache, dass Warnungen geschlossen werden, wenn verwandte Pull Requests, die von Dependabot für Sicherheitsupdates generiert werden, zusammengeführt werden.
Dependabot signiert standardmäßig seine eigenen Commits, auch wenn die Commit-Signierung keine Voraussetzung für das Repository ist. Weitere Informationen zu überprüften Commits findest du unter Informationen zur Verifizierung einer Commit-Signatur.
GitHub können Dependabot alerts an Repositorys senden, die von einem Sicherheitsrisiko betroffen sind, das durch eine kürzlich veröffentlichte GitHub-Sicherheitsempfehlung aufgedeckt wurde. Weitere Informationen finden Sie unter Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database.
Dependabot überprüft, ob es möglich ist, ein Upgrade der anfälligen Abhängigkeit auf eine feste Version durchzuführen, ohne das Abhängigkeitsdiagramm für das Repository zu beeinträchtigen. Anschließend löst Dependabot einen Pull Request aus, um die Abhängigkeit auf die Mindestversion mit dem Patch zu aktualisieren, und verknüpft den Pull Request mit der Dependabot-Warnung oder meldet einen Fehler für die Warnung. Weitere Informationen finden Sie unter Problembehandlung bei Dependabot-Fehlern.
Das Feature Dependabot security updates ist für Repositorys verfügbar, in denen du das Abhängigkeitsdiagramm und Dependabot alerts aktiviert hast. Es wird eine Dependabot-Warnung für jede anfällige Abhängigkeit angezeigt, die in deinem vollständigen Abhängigkeitsdiagramm identifiziert wird. Sicherheitsupdates werden jedoch nur für Abhängigkeiten ausgelöst, die in einer Manifest- oder Sperrdatei angegeben sind. Weitere Informationen finden Sie unter Informationen zum Abhängigkeitsdiagramm.
Note
Für npm löst Dependabot einen Pull Request aus, um eine explizit definierte Abhängigkeit auf eine sichere Version zu aktualisieren, auch wenn dies bedeutet, dass die übergeordnete Abhängigkeit aktualisiert wird bzw. Abhängigkeiten aktualisiert werden müssen oder sogar eine Unterabhängigkeit entfernt wird, die von der übergeordneten Abhängigkeit nicht mehr benötigt wird. Bei anderen Ökosystemen kann Dependabot keine indirekte oder transitive Abhängigkeit aktualisieren, wenn dazu auch eine Aktualisierung der übergeordneten Abhängigkeit erforderlich wäre. Weitere Informationen finden Sie unter Problembehandlung bei Dependabot-Fehlern.
Du kannst ein zugehöriges Feature aktivieren, Dependabot version updates, sodass Dependabot Pull Requests auslöst, um das Manifest auf die neueste Version der Abhängigkeit zu aktualisieren, wenn eine veraltete Abhängigkeit erkannt wird. Weitere Informationen finden Sie unter Informationen zu Updates von Dependabot-Versionen.
Wenn Dependabot Pull Requests auslöst, können diese Pull Requests für Sicherheits- oder Versionsupdates gelten:
- Dependabot security updates sind automatisierte Pull Requests, mit denen Du Abhängigkeiten mit bekannten Sicherheitsrisiken aktualisieren kannst.
- Dependabot version updates sind automatisierte Pull Requests, mit denen Deine Abhängigkeiten auf dem aktuellen Stand gehalten werden, auch wenn sie keine Sicherheitsrisiken aufweisen. Um den Status von Versionsupdates zu überprüfen, navigiere zur Registerkarte „Erkenntnisse“ Deines Repositorys, dann zum Abhängigkeitsdiagramm und Dependabot.
Wenn Sie Dependabot security updates aktivieren, wirken sich Teile der Konfiguration möglicherweise auch auf Pull Requests aus, die für Dependabot version updates erstellt wurden. Dies liegt daran, dass einige Konfigurationseinstellungen für beide Arten von Updates gelten. Weitere Informationen finden Sie unter Anpassen von Pull Requests für Dependabot-Sicherheitsupdates.
Bevor du Dependabot updates aktivierst, musst du Ihre GitHub Enterprise Server-Instance konfigurieren, um GitHub Actions mit selbstgehosteten Runnern zu verwenden. GitHub Actions wird zum Ausführen von Dependabot version updates und Dependabot security updates in GitHub Enterprise Server benötigt. Weitere Informationen findest du unter Aktivieren von Dependabot für dein Unternehmen.
Dependabot security updates kann anfällige Abhängigkeiten in GitHub Actions beheben. Wenn Sicherheitsupdates aktiviert sind, löst Dependabot automatisch einen Pull Request aus, um anfällige GitHub Actions in Workflows auf die gepatchte Mindestversion zu aktualisieren.
Informationen zu Pull Requests für Sicherheitsupdates
Jeder Pull Request enthält alles, was du brauchst, um einen vorgeschlagenen Fix schnell und sicher zu überprüfen und mit deinem Projekt zu mergen. Dazu gehören Informationen zum Sicherheitsrisiko wie Versionshinweise, Änderungsprotokolleinträge und Commitdetails. Details dazu, welches Sicherheitsrisiko durch einen Pull Request behoben wird, sind für alle Benutzer ausgeblendet, die nicht über Zugriff auf Dependabot alerts-Warnungen für das Repository verfügen.
Wenn du einen Pull Request mergst, der ein Sicherheitsupdate enthält, wird die entsprechende Dependabot-Warnung für dein Repository als aufgelöst markiert. Weitere Informationen zu Dependabot-Pull Requests findest du unter Verwalten von Pull Requests für Abhängigkeitsupdates.
Note
Es empfiehlt sich, automatisierte Tests und Abnahmeprozesse einzurichten, damit Überprüfungen durchgeführt werden, bevor der Pull Request zusammengeführt wird. Das ist besonders wichtig, wenn die vorgeschlagene Version, auf die du ein Upgrade durchführen möchtest, zusätzliche Funktionalität oder Breaking Changes enthält. Weitere Informationen zu Continuous Integration (CI) findest du unter Info zu Continuous Integration mit GitHub Actions.
Informationen zur automatischen Deaktivierung von Dependabot updates
Wenn die Maintainer eines Repositorys nicht mehr mit Pull Requests von Dependabot interagieren, hält Dependabot die Updates vorübergehend an und informiert dich. Weitere Informationen findest du unter Dependabot-Update für Pull Requests nicht mehr generiert.
Informationen zum Konfigurieren von Dependabot-Sicherheitsupdates
Du kannst deine Benachrichtigungen nach GitHub filtern, um Dependabot-Sicherheitsupdates anzuzeigen. Weitere Informationen finden Sie unter Benachrichtigungen über deinen Posteingang verwalten.