Skip to main content

Anzeigen und Aktualisieren von Dependabot-Warnungen

Wenn GitHub Enterprise Server unsichere Abhängigkeiten in deinem Projekt erkennt, kannst du die Details dazu auf der Registerkarte „Dependabot-Warnungen“ deines Repositorys anzeigen. Anschließend kannst du dein Projekt aktualisieren, um die Warnung zu verwerfen oder zu löschen.

Wer kann dieses Feature verwenden?

  • Repositoryadministratoren, Organisationsbesitzer und Personen mit Schreib- oder Wartungszugriff auf ein Repository
  • Benutzer und Teams mit explizitem Zugriff. Weitere Informationen findest du unter Gewähren des Zugriffs auf Sicherheitswarnungen.

Note

Dein Websiteadministrator muss Dependabot updates für Ihre GitHub Enterprise Server-Instance einrichten, damit du dieses Feature verwenden kannst. Weitere Informationen findest du unter Aktivieren von Dependabot für dein Unternehmen.

Möglicherweise kannst du Dependabot updates nicht aktivieren oder deaktivieren, wenn ein Unternehmensbesitzer eine Richtlinie auf Unternehmensebene festgelegt hat. Weitere Informationen findest du unter Erzwingen von Richtlinien für die Codesicherheit und -analyse für Unternehmen.

Auf der Dependabot alerts-Registerkarte Ihres Repositorys werden alle offenen und geschlossenen Dependabot alerts und die entsprechenden Dependabot security updates angezeigt. Du kannst Warnungen nach Paket, Ökosystem oder Manifest filtern. Du kannst die Warnungsliste sortieren, und du kannst auf bestimmte Warnungen klicken, um weitere Details anzuzeigen. Sie können Warnungen auch schließen oder erneut öffnen, entweder einzeln oder durch gleichzeitiges Auswählen mehrerer Warnungen. Weitere Informationen finden Sie unter Informationen zu Dependabot-Warnungen.

Sie können automatische Sicherheitsupdates für jedes Repository aktivieren, das Dependabot alerts und das Abhängigkeitsdiagramm verwendet. Weitere Informationen finden Sie unter Informationen zu Dependabot-Sicherheitsupdates.

Informationen zu Updates für anfällige Abhängigkeiten in deinem Repository

GitHub Enterprise Server generiert Dependabot alerts, wenn erkannt wird, dass der Standardbranch der Codebasis Abhängigkeiten verwendet, für die Sicherheitsrisiken bekannt sind. Wenn GitHub Enterprise Server bei Repositorys mit aktivierten Dependabot security updates eine anfällige Abhängigkeit im Standardbranch erkennt, erstellt Dependabot einen Pull Request, um diese zu beheben. Der Pull Request aktualisiert die Abhängigkeit auf die minimal mögliche sichere Version, die erforderlich ist, um das Sicherheitsrisiko zu vermeiden.

Dependabot generiert keine Dependabot alerts für Malware. Weitere Informationen findest du unter Informationen zu GitHub Advisory Database.

Jede Dependabot-Warnung verfügt über einen eindeutigen numerischen Bezeichner, und auf der Dependabot alerts-Registerkarte wird eine Warnung für jedes erkannte Sicherheitsrisiko aufgeführt. Dependabot alerts-Legacywarnungen haben Sicherheitsrisiken nach Abhängigkeit gruppiert und eine einzelne Warnung pro Abhängigkeit generiert. Wenn du zu einer Dependabot-Legacywarnung navigierst, wirst du zu einer Dependabot alerts-Registerkarte weitergeleitet, die nach diesem Paket gefiltert ist.

Du kannst Dependabot alerts mithilfe einer Vielzahl von Filtern und Sortieroptionen filtern und sortieren, die auf der Benutzeroberfläche verfügbar sind. Weitere Informationen findest du im Folgenden unter Priorisieren von Dependabot alerts.

Du kannst auch Aktionen überwachen, die als Reaktion auf Dependabot-Warnungen ausgeführt wurden. Weitere Informationen finden Sie unter Prüfen von Sicherheitswarnungen.

Priorisieren von Dependabot alerts

GitHub unterstützt dich dabei, die Korrektur von Dependabot alerts zu priorisieren. Standardmäßig werden Dependabot alerts nach Wichtigkeit sortiert. Mit der Sortierung nach „Wichtigste“ kannst du priorisieren, auf welche Dependabot alerts du dich zuerst konzentrieren möchtest. Warnungen werden basierend auf potenziellen Auswirkungen, Aktionen und Relevanz bewertet. Unsere Priorisierungsberechnung wird ständig verbessert und umfasst Faktoren wie die CVSS-Bewertung,den Abhängigkeitsbereich und ob anfällige Funktionsaufrufe für die Warnung gefunden werden.

Du kannst auch Dependabot auto-triage rules verwenden, um Dependabot alerts zu priorisieren. Weitere Informationen findest du unter Über Auto-Triage-Regeln von Dependabot.

Du kannst Dependabot alerts sortieren und filtern, indem du Filter als key:value-Paare in die Suchleiste eingibst.

OptionBeschreibung des DataflowsBeispiel
ecosystemZeigt Warnungen für das ausgewählte Ökosystem an.Verwende ecosystem:npm zum Anzeigen von Dependabot alerts für npm.
hasZeigt Warnungen an, die den ausgewählten Filterkriterien entsprechen.Verwende has:patch, um Warnungen im Zusammenhang mit Empfehlungen anzuzeigen, die über einen Patch verfügen.
isZeigt Warnungen basierend auf ihrem Status an.Verwende is:open, um offene Warnungen anzuzeigen.
manifestZeigt Warnungen für das ausgewählte Manifest an.Verwende manifest:webwolf/pom.xml, um Warnungen für die Datei „pom.xml“ der Webwolf-Anwendung anzuzeigen.
packageZeigt Warnungen für das ausgewählte Paket an.Verwende package:django, um Warnungen für Django anzuzeigen.
resolutionZeigt Warnungen mit dem ausgewählten Auflösungsstatus an.Verwende resolution:no-bandwidth zum Anzeigen von Warnungen, die ausgesetzt wurden, weil zur Behebung keine Zeit oder keine Ressourcen verfügbar sind.
repoZeigt Warnungen basierend auf dem Repository an, auf das sie sich beziehen.
Beachte, dass dieser Filter nur für die Sicherheitsübersicht verfügbar ist. Weitere Informationen findest du unter Informationen zur Sicherheitsübersicht.
Verwende repo:octocat-repo, um Warnungen im Repository namens octocat-repo anzuzeigen.
scopeZeigt Warnungen basierend auf dem Bereich der Abhängigkeit an, auf die sie sich beziehen.Verwende scope:development, um Warnungen für Abhängigkeiten anzuzeigen, die nur während der Entwicklung verwendet werden.
severityZeigt Warnungen basierend auf ihrem Schweregrad an.Verwende severity:high, um Warnungen mit dem Schweregrad „Hoch“ anzuzeigen.
sortZeigt Warnungen entsprechend der ausgewählten Sortierreihenfolge an.Die Standardsortieroption für Warnungen ist sort:most-important, die Warnungen nach Wichtigkeit bewertet.
Verwende sort:newest, um die neuesten von Dependabot gemeldeten Warnungen anzuzeigen.

Zusätzlich zu den über die Suchleiste verfügbaren Filtern kannst du Dependabot alerts mithilfe der Dropdownmenüs oben in der Warnungsliste sortieren und filtern. Um nach der Bezeichnung zu filtern, klicken Sie alternativ auf eine Bezeichnung, die einer Warnung zugewiesen ist, damit dieser Filter automatisch auf die Warnungsliste angewendet wird.

Die Suchleiste ermöglicht auch die Volltextsuche für Warnungen und verwandte Sicherheitsempfehlungen. Du kannst nach einem Teil des Namens einer Sicherheitsempfehlung oder nach einer Beschreibung suchen, um die Warnungen in deinem Repository zurückzugeben, die sich auf diese Sicherheitsempfehlung beziehen. Beispielsweise gibt die Suche nach yaml.load() API could execute arbitrary code Dependabot alerts im Zusammenhang mit PyYAML insecurely deserializes YAML strings leading to arbitrary code execution (Die PyYAML-Deserialisierung von YAML-Zeichenfolgen ist unsicher und führt zu einer beliebigen Codeausführung) zurück, da die Suchzeichenfolge in der Beschreibung der Empfehlung vorkommt.

Screenshot: Filter- und Sortiermenüs auf der Registerkarte Dependabot alerts

Unterstützte Ökosysteme und Manifeste für abhängigkeitsbezogene Bereiche

In der folgenden Tabelle ist zusammengefasst, ob der Abhängigkeitsbereich für verschiedene Ökosysteme und Manifeste unterstützt wird, d.h. ob Dependabot erkennen kann, ob eine Abhängigkeit für die Entwicklung oder Produktion verwendet wird.

SpracheÖkosystemManifestdateiUnterstützter Abhängigkeitsbereich
Dartpubpubspec.yaml
Dartpubpubspec.lock
GoGo-Modulego.modNein, standardmäßig auf „Runtime“ festgelegt
JavaMavenpom.xml test ist „Entwicklung“ zugeordnet, andere Bereichseinstellungen sind standardmäßig auf „Runtime“ festgelegt
JavaScriptnpmpackage.json
JavaScriptnpmpackage-lock.json
JavaScriptnpmpnpm-lock.yaml
JavaScriptyarn v1yarn.lockNein, standardmäßig auf „Runtime“ festgelegt
PHPComposercomposer.json
PHPComposercomposer.lock
PythonPoetrypoetry.lock
PythonPoetrypyproject.toml
Pythonpiprequirements.txt Bereich ist „Entwicklung“, wenn der Dateiname test oder dev enthält, andernfalls ist er „Runtime“
Pythonpippipfile.lock
Pythonpippipfile
RubyRubyGemsGemfile
RubyRubyGemsGemfile.lockNein, standardmäßig auf „Runtime“ festgelegt
RustCargoCargo.toml
RustCargoCargo.lockNein, standardmäßig auf „Runtime“ festgelegt
YAMLGitHub-Aktionen-Nein, standardmäßig auf „Runtime“ festgelegt
.NET (C#, F#, VB usw.)NuGet.csproj / .vbproj .vcxproj / .fsprojNein, standardmäßig auf „Runtime“ festgelegt
.NETNuGetpackages.configNein, standardmäßig auf „Runtime“ festgelegt
.NETNuGet.nuspec Wenn das Tag != runtime

Warnungen für Pakete, die als Entwicklungsabhängigkeiten aufgeführt sind, werden mit der Bezeichnung Development auf der Dependabot alerts-Seite markiert und sind auch für die Filterung über den scope-Filter verfügbar.

Screenshot der Bezeichnung „Entwicklung“, die einer Warnung in der Liste der Warnungen zugewiesen ist. Die Bezeichnung ist dunkelorange umrandet.

Die Seite „Warnungsdetails“ von Warnungen in entwicklungsbezogenen Paketen zeigt einen Abschnitt „Tags“, der eine Development-Bezeichnung enthält.

Screenshot mit dem Abschnitt „Tags“ auf der Seite mit den Warnungsdetails. Die Bezeichnung ist dunkelorange umrandet.

Anzeige von Dependabot alerts

Sie können alle offenen und geschlossenen Dependabot alerts und entsprechenden Dependabot security updates im Dependabot alerts-Reiter Ihres Repositorys sehen. Sie können Dependabot alerts sortieren und filtern, indem Sie einen Filter aus dem Dropdown-Menü auswählen.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicke auf der Randleiste der Sicherheitsübersicht auf Dependabot . Wenn diese Option fehlt, bedeutet das, dass du keinen Zugriff auf die Sicherheitswarnungen hast und dir Zugriff gewährt werden muss. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.

    Screenshot der Sicherheitsübersicht mit dunkelorange umrandeter Registerkarte „Dependabot“.

  4. Optional kannst du zum Filtern von Warnungen einen Filter in einem Dropdownmenü auswählen und dann auf den Filter klicken, den du anwenden möchtest. Du kannst Filter auch in die Suchleiste eingeben. Um nach der Bezeichnung zu filtern, klicken Sie alternativ auf eine Bezeichnung, die einer Warnung zugewiesen ist, damit dieser Filter automatisch auf die Warnungsliste angewendet wird. Weitere Informationen zum Filtern und Sortieren von Warnungen findest du unter Priorisieren von Dependabot alerts.

    Screenshot: Filter- und Sortiermenüs auf der Registerkarte Dependabot alerts

  5. Klicke auf die Warnung, die du anzeigen möchtest.

  6. Wenn du optional eine Verbesserung der entsprechenden Sicherheitsempfehlung vorschlagen möchtest, klicke auf der rechten Seite mit den Warnungsdetails auf Vorschlagen von Verbesserungen für diese Empfehlung in GitHub Advisory Database . Weitere Informationen finden Sie unter Bearbeiten von Sicherheitshinweisen in GitHub Advisory Database.

    Screenshot: Rechte Seitenleiste einer Dependabot-Warnung. Ein Link mit dem Titel „Vorschlagen von Verbesserungen für diese Empfehlung in GitHub Advisory Database“ ist mit einem orangefarbenen Rahmen hervorgehoben.

Überprüfen und Beheben von Warnungen

Es ist wichtig, sicherzustellen, dass keine deiner Abhängigkeiten Sicherheitslücken aufweist. Wenn Dependabot Sicherheitsrisiken in deinen Abhängigkeiten erkennt, solltest du den Grad der Gefährdung deines Projekts einschätzen und festlegen, welche Maßnahmen zur Entschärfung du ergreifen musst, um deine Anwendung abzusichern.

Wenn eine gepatchte Version der Abhängigkeit verfügbar ist, kannst du einen Dependabot-Pull Request generieren, um die betroffene Abhängigkeit direkt aus einer Dependabot-Warnung zu aktualisieren. Wenn du Dependabot security updates aktiviert hast, kann der Pull Request in der Dependabot-Warnung verlinkt werden.

In Fällen, in denen keine gepatchte Version verfügbar ist oder du nicht auf die sichere Version aktualisieren kannst, stellt Dependabot zusätzliche Informationen zur Verfügung, damit du die nächsten Schritte festlegen kannst. Wenn du auf eine Dependabot-Warnung klickst, kannst du die vollständigen Details zur Sicherheitsempfehlung für die Abhängigkeit einschließlich der betroffenen Funktionen anzeigen. Du kannst dann überprüfen, ob dein Code die betroffenen Funktionen aufruft. Diese Informationen können dir helfen, den Gefährdungsgrad einzuschätzen und zu entscheiden, ob du das Risiko, das der Sicherheitshinweis angibt, in Kauf nehmen kannst oder nicht.

Beheben von anfälligen Abhängigkeiten

  1. Sieh dir die Details zu einer Warnung an. Weitere Informationen findest du unter Anzeigen von Dependabot alerts weiter oben.

  2. Wenn du Dependabot security updates aktiviert hast, gibt es möglicherweise einen Link zu einem Pull Request, der die Abhängigkeit behebt. Alternativ kannst du oben auf der Seite mit den Warnungsdetails auf Dependabot-Sicherheitsupdate erstellen klicken, um einen Pull Request zu erstellen.

    Screenshot einer Dependabot-Warnung mit der Schaltfläche „Dependabot-Sicherheitsupdate erstellen“, die dunkelorange umrandet ist.

  3. (Optional) Falls du Dependabot security updates nicht verwendest, kannst du anhand der Informationen auf der Seite entscheiden, auf welche Version der Abhängigkeit du ein Upgrade durchführen möchtest und einen Pull Request erstellen, um die Abhängigkeit auf eine sichere Version zu aktualisieren.

  4. Wenn du zum Aktualisieren deiner Abhängigkeit und zum Beheben deiner Schwachstelle bereit bist, führe den Merge für den Pull Request durch.

    Jeder von Dependabot ausgelöste Pull Request enthält Informationen zu Befehlen, die Sie zum Steuern von Dependabot verwenden können. Weitere Informationen finden Sie unter Verwalten von Pull Requests für Abhängigkeitsupdates.

Schließen von Dependabot alerts

Note

Du kannst nur offene Warnungen verwerfen.

Wenn du umfangreiche Arbeiten zum Upgrade einer Abhängigkeit planst oder entscheidest, dass für eine Warnung keine Maßnahmen ergriffen werden müssen, kannst du die Warnung schließen. Durch das Schließen von bereits bewerteten Warnungen kannst du neue Warnungen leichter einordnen, sobald sie auftreten.

  1. Sieh dir die Details zu einer Warnung an. Weitere Informationen findest du unter Anzeigen von anfälligen Abhängigkeiten (oben).

  2. Wählen Sie die Dropdownliste „Verwerfen“ aus, und klicken Sie auf einen Grund zum Verwerfen der Warnungen. Nicht behobene verworfene Warnungen können später erneut geöffnet werden.

  3. Füge optional einen Kommentar hinzu. Der Kommentar zum Schließen wird der Zeitleiste der Warnung hinzugefügt und kann bei Prüfungen und Berichterstellungen als Begründung verwendet werden. Du kannst einen Kommentar über die GraphQL-API abrufen oder festlegen. Der Kommentar ist im Feld dismissComment enthalten. Weitere Informationen findest du in der Dokumentation zur GraphQL-API unter Objects.

    Screenshot der Seite für eine Dependabot-Warnung mit dem Dropdownmenü „Schließen“ und der Option zum Hinzufügen eines Kommentars zur Schließung mit einem dunkelorangenen Rahmen.

  4. Klicke auf Warnung schließen.

Gleichzeitiges Verwerfen mehrerer Warnungen

  1. Zeige die geöffnete Dependabot alerts an. Weitere Informationen finden Sie unter Anzeigen und Aktualisieren von Dependabot-Warnungen.
  2. Filtere optional die Liste der Warnungen, indem du ein Dropdownmenü auswählst und dann auf den Filter klickst, den du anwenden möchtest. Du kannst Filter auch in die Suchleiste eingeben.
  3. Wähle links neben jedem Warnungstitel die Warnungen aus, die du verwerfen möchtest.
    Screenshot der Ansicht für Dependabot alerts, zwei Warnungen sind ausgewählt, und die Kontrollkästchen sind orange umrandet.
  4. Wähle optional oben in der Liste der Warnungen alle Warnungen auf der Seite aus.
    Screenshot des Headerabschnitts der Ansicht für Dependabot alerts, das Kontrollkästchen „Alle auswählen“ ist dunkelorange umrandet.
  5. Wähle die Dropdownliste „Warnungen verwerfen“ aus, und klicke auf einen Grund zum Verwerfen der Warnungen.
    Screenshot einer Liste von Warnungen. Unter der Schaltfläche „Warnungen verwerfen“ wird ein Dropdownmenü mit der Bezeichnung „Grund zum Verwerfen auswählen“ erweitert. Das Dropdownmenü enthält Optionsfelder für verschiedene Optionen.

Anzeigen und Aktualisieren von geschlossenen Warnungen

Du kannst alle geöffneten Warnungen anzeigen und Warnungen erneut öffnen, die zuvor geschlossen wurden. Geschlossene Warnungen, die bereits behoben wurden, können nicht erneut geöffnet werden.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicke auf der Randleiste der Sicherheitsübersicht auf Dependabot . Wenn diese Option fehlt, bedeutet das, dass du keinen Zugriff auf die Sicherheitswarnungen hast und dir Zugriff gewährt werden muss. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.

    Screenshot der Sicherheitsübersicht mit dunkelorange umrandeter Registerkarte „Dependabot“.

  4. Klicke auf Geschlossen, um geschlossene Warnungen anzuzeigen.

    Screenshot der Liste der Dependabot alerts mit orange umrandeter Registerkarte „Geschlossen“

  5. Klicke auf die Warnung, die du anzeigen oder aktualisieren möchtest.

  6. Alternativ kannst du auf Erneut öffnen klicken, wenn die Datei geschlossen wurde und du sie wieder öffnen möchtest. Warnungen, die bereits behoben wurden, können nicht erneut geöffnet werden.

    Screenshot: geschlossene Dependabot-Warnung Eine Schaltfläche mit dem Titel „Erneut öffnen“ ist dunkelorange umrandet.

Gleichzeitiges erneutes Öffnen mehrerer Warnungen

  1. Zeige die geschlossenen Dependabot alerts an. Weitere Informationen findest du weiter oben unter Anzeigen und Aktualisieren von Dependabot-Warnungen.
  2. Wähle links jedem neben Warnungstitel die Warnungen aus, die du erneut öffnen möchtest, indem du das Kontrollkästchen neben der jeweiligen Warnung aktivierst.
  3. Wähle optional oben in der Warnungsliste alle geschlossenen Warnungen auf der Seite aus.
    Screenshot: Warnungen auf der Registerkarte „Geschlossen“. Das Kontrollkästchen „Alle auswählen“ ist dunkelorange umrandet.
  4. Klicke auf Erneut öffnen, um die Warnungen erneut zu öffnen. Warnungen, die bereits behoben wurden, können nicht erneut geöffnet werden.

Überprüfen der Überwachungsprotokolle für Dependabot alerts

Wenn ein Mitglied deiner Organisation oder deines Unternehmens eine Aktion im Zusammenhang mit Dependabot alerts ausführt, kannst du die Aktionen im Überwachungsprotokoll überprüfen. Weitere Informationen zum Zugreifen auf das Protokoll findest du unter Auditprotokoll deiner Organisation überprüfen.

Screenshot des Überwachungsprotokolls mit Dependabot-Warnungen

Ereignisse in deinem Überwachungsprotokoll für Dependabot alerts enthalten Details, z. B. wer die Aktion ausgeführt hat, was die Aktion war und wann die Aktion ausgeführt wurde. Das Ereignis enthält außerdem einen Link zur Warnung selbst. Wenn ein Mitglied Ihrer Organisation eine Warnung verwirft, zeigt das Ereignis den Grund dafür und einen Kommentar an. Informationen zu den Aktionen für Dependabot alerts findest du in der Kategorie repository_vulnerability_alert in Überwachungsprotokollereignisse für deine Organisation.