Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Diese Version von GitHub Enterprise wurde eingestellt am 2023-01-18. Es wird keine Patch-Freigabe vorgenommen, auch nicht für kritische Sicherheitsprobleme. Für bessere Leistung, verbesserte Sicherheit und neue Features aktualisiere auf die neueste Version von GitHub Enterprise. Wende dich an den GitHub Enterprise-Support, um Hilfe zum Upgrade zu erhalten.

Informationen zu Dependabot-Sicherheitsupdates

Dependabot kann anfällige Abhängigkeiten für dich beheben, indem Pull Requests mit Sicherheitsupdates ausgelöst werden.

Dependabot security updates sind kostenlos für Repositorys (im Benutzer- oder Organisationsbesitz) auf GitHub Enterprise Server, vorausgesetzt, Unternehmensadministratoren aktivieren das Feature für dein Unternehmen.

**Hinweis:** Dependabot Sicherheits- und Versionsupdates befinden sich derzeit in der privaten Beta und unterliegen Änderungen. Wende [Dich an Dein Kontoverwaltungsteam](https://enterprise.github.com/contact), um Anweisungen zum Aktivieren von Dependabot-Updates zu erhalten.

Hinweis: Dein Websiteadministrator muss Dependabot updates für your GitHub Enterprise Server instance einrichten, damit du dieses Feature verwenden kannst. Weitere Informationen findest du unter Aktivieren von Dependabot für dein Unternehmen.

Informationen zu Dependabot security updates

Mit Dependabot security updates kannst du anfällige Abhängigkeiten in deinem Repository leichter beheben. Wenn du dieses Feature aktivierst und eine Dependabot-Warnung für eine anfällige Abhängigkeit im Abhängigkeitsdiagramm deines Repositorys ausgelöst wird, versucht Dependabot automatisch, diese zu beheben. Weitere Informationen findest du unter Informationen zu Dependabot alerts und unter Konfigurieren von Dependabot security updates.

GitHub können Dependabot alerts an Repositorys senden, die von einem Sicherheitsrisiko betroffen sind, das durch eine kürzlich veröffentlichte GitHub-Sicherheitsempfehlung aufgedeckt wurde. Weitere Informationen findest du unter Durchsuchen von Sicherheitsempfehlungen in GitHub Advisory Database.

Dependabot überprüft, ob es möglich ist, ein Upgrade der anfälligen Abhängigkeit auf eine feste Version durchzuführen, ohne das Abhängigkeitsdiagramm für das Repository zu beeinträchtigen. Anschließend löst Dependabot einen Pull Request aus, um die Abhängigkeit auf die Mindestversion mit dem Patch zu aktualisieren, und verknüpft den Pull Request mit der Dependabot-Warnung oder meldet einen Fehler für die Warnung. Weitere Informationen findest du unter Problembehandlung bei Dependabot-Fehlern.

Das Feature Dependabot security updates ist für Repositorys verfügbar, in denen du das Abhängigkeitsdiagramm und Dependabot alerts aktiviert hast. Es wird eine Dependabot-Warnung für jede anfällige Abhängigkeit angezeigt, die in deinem vollständigen Abhängigkeitsdiagramm identifiziert wird. Sicherheitsupdates werden jedoch nur für Abhängigkeiten ausgelöst, die in einer Manifest- oder Sperrdatei angegeben sind. Weitere Informationen findest du unter Informationen zum Abhängigkeitsdiagramm.

Du kannst ein zugehöriges Feature aktivieren, Dependabot version updates, sodass Dependabot Pull Requests auslöst, um das Manifest auf die neueste Version der Abhängigkeit zu aktualisieren, wenn eine veraltete Abhängigkeit erkannt wird. Weitere Informationen findest du unter Informationen zu Dependabot-Versionsupdates.

Wenn Dependabot Pull Requests auslöst, können diese Pull Requests für Sicherheits- oder Versionsupdates gelten:

  • Dependabot security updates sind automatisierte Pull Requests, mit denen Du Abhängigkeiten mit bekannten Sicherheitsrisiken aktualisieren kannst.
  • Dependabot version updates sind automatisierte Pull Requests, mit denen Deine Abhängigkeiten auf dem aktuellen Stand gehalten werden, auch wenn sie keine Sicherheitsrisiken aufweisen. Um den Status von Versionsupdates zu überprüfen, navigiere zur Registerkarte „Erkenntnisse“ Deines Repositorys, dann zum Abhängigkeitsdiagramm und Dependabot.

GitHub Actions ist erforderlich, um Dependabot version updates und Dependabot security updates in GitHub Enterprise Server auszuführen. Bevor du Dependabot updates aktivierst, musst du your GitHub Enterprise Server instance konfigurieren, um GitHub Actions mit selbstgehosteten Runnern zu verwenden. Weitere Informationen findest du unter Aktivieren von Dependabot für dein Unternehmen.

Informationen zu Pull Requests für Sicherheitsupdates

Jeder Pull Request enthält alles, was du brauchst, um einen vorgeschlagenen Fix schnell und sicher zu überprüfen und mit deinem Projekt zu mergen. Dazu gehören Informationen zum Sicherheitsrisiko wie Versionshinweise, Änderungsprotokolleinträge und Commitdetails. Details dazu, welches Sicherheitsrisiko durch einen Pull Request behoben wird, sind für alle Benutzer ausgeblendet, die nicht über Zugriff auf Dependabot alerts-Warnungen für das Repository verfügen.

Wenn du einen Pull Request mergst, der ein Sicherheitsupdate enthält, wird die entsprechende Dependabot-Warnung für dein Repository als aufgelöst markiert. Weitere Informationen zu Dependabot-Pull Requests findest du unter Verwalten von Pull Requests für Abhängigkeitsupdates.

Hinweis: Es empfiehlt sich, automatisierte Tests und Abnahmeprozesse einzurichten, damit Überprüfungen durchgeführt werden, bevor der Pull Request gemergt wird. Das ist besonders wichtig, wenn die vorgeschlagene Version, auf die du ein Upgrade durchführen möchtest, zusätzliche Funktionalität oder Breaking Changes enthält. Weitere Informationen zu Continuous Integration (CI) findest du unter Informationen zu Continuous Integration.

Informationen zum Konfigurieren von Dependabot-Sicherheitsupdates

Du kannst deine Benachrichtigungen nach GitHub filtern, um Dependabot-Sicherheitsupdates anzuzeigen. Weitere Informationen findest du unter Verwalten von Benachrichtigungen aus deinem Posteingang.