Skip to main content

Informationen zu Dependabot-Warnungen

GitHub Enterprise Server versendet Dependabot alerts, wenn erkannt wird, dass dein Repository eine anfällige Abhängigkeit.

Dependabot alerts sind kostenlos für Repositorys (im Benutzer- oder Organisationsbesitz) auf GitHub Enterprise Server, vorausgesetzt, Unternehmensadministratoren aktivieren das Feature für dein Unternehmen.

Informationen zu Dependabot alerts

Durch Dependabot alerts erfährst du, dass dein Code von einem unsicheren Paket abhängt.

Wenn dein Code von einem Paket mit einem Sicherheitsrisiko abhängt, kann dies eine Reihe von Problemen für dein Projekt oder die Personen verursachen, die es verwenden. Du solltest so schnell wie möglich auf eine sichere Version des Pakets upgraden.

Weitere Informationen findest du unter Durchsuchen von Sicherheitsempfehlungen in GitHub Advisory Database.

Erkennen unsicherer Abhängigkeiten

Dependabot führt eine Überprüfung zum Erkennen von unsicheren Abhängigkeiten durch und sendet Dependabot alerts, wenn:

  • Neue Empfehlungsdaten werden stündlich zwischen GitHub.com und your GitHub Enterprise Server instance synchronisiert. Weitere Informationen findest du unter Durchsuchen von Sicherheitsempfehlungen in GitHub Advisory Database.

    Hinweis: Nur Empfehlungen, die von GitHub überprüft wurden, lösen Dependabot alerts aus.

  • Das Abhängigkeitsdiagramm für ein Repository wird geändert. Wenn ein Mitwirkender beispielsweise einen Commit veröffentlicht, um die Pakete oder Versionen zu ändern, von denen er abhängt. Weitere Informationen findest du unter Informationen zum Abhängigkeitsdiagramm.

Darüber hinaus kann GitHub jegliche Abhängigkeiten, die in einem Pull Request dem Standardbranch eines Repositorys hinzugefügt, darin aktualisiert oder daraus entfernt werden, überprüfen und alle Änderungen markieren, die die Sicherheit deines Projekts beeinträchtigen könnten. So kannst du gefährliche Abhängigkeiten erkennen und behandeln, bevor sie deine Codebasis erreichen, und nicht erst danach. Weitere Informationen findest du unter Überprüfen von Abhängigkeitsänderungen in einem Pull Request.

Eine Liste der Ökosysteme, in denen GitHub Enterprise Server unsichere Abhängigkeiten erkennen kann, findest du unter Ökosysteme unterstützter Pakete.

Hinweis: Du musst dein Manifest und deine Sperrdateien auf dem neuesten Stand halten. Wenn das Abhängigkeitsdiagramm deine aktuellen Abhängigkeiten und Versionen nicht genau widerspiegelt, kannst du Warnungen zu unsicheren Abhängigkeiten verpassen, die du verwendest. Möglicherweise erhältst du auch Warnungen für Abhängigkeiten, die du nicht mehr verwendest.

Konfigurieren von Dependabot alerts

Unternehmensbesitzer müssen Dependabot alerts für your GitHub Enterprise Server instance aktivieren, bevor du dieses Feature nutzen kannst. Weitere Informationen findest du unter Aktivieren von Dependabot für dein Unternehmen.

Wenn GitHub Enterprise Server eine Abhängigkeit mit Sicherheitsrisiken, wird eine Dependabot-Warnung generiert und auf der Registerkarte „Sicherheit“ für das Repository und im Abhängigkeitsdiagramm des Repositorys angezeigt. Die Warnung enthält einen Link zur betroffenen Datei im Projekt sowie Informationen zu einer Version, bei der das Problem behoben wurde. GitHub Enterprise Server kann auch die Verwalter betroffener Repositorys über die neue Warnung gemäß ihren Benachrichtigungseinstellungen benachrichtigen. Weitere Informationen findest du unter Konfigurieren von Benachrichtigungen für Dependabot alerts.

Bei Repositorys, für die Dependabot security updates aktiviert ist, kann die Warnung außerdem einen Link zu einem Pull Request enthalten, um die Manifest- oder Sperrdatei auf die Mindestversion zu aktualisieren, die die Sicherheitslücke behebt. Weitere Informationen findest du unter Informationen zu Dependabot security updates.

Hinweis: Die Sicherheitsfeatures von GitHub Enterprise Server können nicht garantieren, dass alle Sicherheitsrisiken. Die GitHub Advisory Database wird aktiv verwaltet, und Warnungen werden mithilfe der aktuellsten Informationen generiert. Allerdings kann nicht alles erkannt sowie kein Zeitrahmen zur Benachrichtigung über bekannte Sicherheitsrisiken garantiert werden. Diese Features können das Überprüfen der einzelnen Abhängigkeiten auf potenzielle Sicherheitsrisiken oder andere Probleme durch Menschen nicht ersetzen. Es wird empfohlen, sich bei Bedarf mit einem Sicherheitsdienst in Verbindung zu setzen oder eine gründliche Überprüfung der Abhängigkeiten durchzuführen.

Zugriff auf Dependabot alerts

Du kannst alle Warnungen, die sich auf ein bestimmtes Projekt im Abhängigkeitsdiagramm des Repositorys sehen. Weitere Informationen findest du unter Anzeigen und Aktualisieren von Dependabot alerts.

Personen mit Administratorberechtigungen in den betroffenen Repositorys werden standardmäßig über neue Dependabot alerts benachrichtigt.

Um Benachrichtigungen über Dependabot alerts zu Repositorys zu erhalten, musst du diese Repositorys überwachen und den Erhalt von Benachrichtigungen für „Alle Aktivitäten“ abonnieren oder benutzerdefinierte Einstellungen so konfigurieren, dass sie „Sicherheitswarnungen“ umfassen. Weitere Informationen findest du unter Konfigurieren von Überwachungseinstellungen für ein einzelnes Repository. Du kannst die Übermittlungsmethode für Benachrichtigungen sowie die Häufigkeit auswählen, in der die Benachrichtigungen an dich gesendet werden. Weitere Informationen findest du unter Konfigurieren von Benachrichtigungen für Dependabot alerts.

Du kannst auch alle Dependabot alerts anzeigen, die einer bestimmten Empfehlung in der GitHub Advisory Database entsprechen. Weitere Informationen findest du unter Durchsuchen von Sicherheitsempfehlungen in GitHub Advisory Database.

Weitere Informationsquellen