Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Aktuelle Informationen findest du in der englischsprachigen Dokumentation.
All products
Codesicherheit

Informationen zu Dependabot-Warnungen

In diesem Artikel

GitHub Enterprise Server versendet Dependabot alerts, wenn erkannt wird, dass dein Repository eine anfällige Abhängigkeit.

Dependabot alerts sind kostenlos für Repositorys (im Benutzer- oder Organisationsbesitz) auf GitHub Enterprise Server, vorausgesetzt, Unternehmensadministratoren aktivieren das Feature für dein Unternehmen.

Informationen zu Dependabot alerts

Durch Dependabot alerts erfährst du, dass dein Code von einem unsicheren Paket abhängt.

Wenn dein Code von einem Paket mit einem Sicherheitsrisiko abhängt, kann dies eine Reihe von Problemen für dein Projekt oder die Personen verursachen, die es verwenden. Du solltest so schnell wie möglich auf eine sichere Version des Pakets upgraden.

Weitere Informationen findest du unter Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database.

Erkennen unsicherer Abhängigkeiten

Dependabot führt eine Überprüfung zum Erkennen von unsicheren Abhängigkeiten durch und sendet Dependabot alerts, wenn:

  • Neue Empfehlungsdaten werden stündlich zwischen GitHub.com und deine GitHub Enterprise Server-Instanz synchronisiert. Weitere Informationen findest du unter Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database.

    Hinweis: Nur Empfehlungen, die von GitHub überprüft wurden, lösen Dependabot alerts aus.

  • Das Abhängigkeitsdiagramm für ein Repository wird geändert. Wenn ein Mitwirkender beispielsweise einen Commit veröffentlicht, um die Pakete oder Versionen zu ändern, von denen er abhängt. Weitere Informationen findest du unter Informationen zum Abhängigkeitsdiagramm.

Hinweis: Dependabot überprüft keine archivierten Repositorys.

Darüber hinaus kann GitHub jegliche Abhängigkeiten, die in einem Pull Request dem Standardbranch eines Repositorys hinzugefügt, darin aktualisiert oder daraus entfernt werden, überprüfen und alle Änderungen markieren, die die Sicherheit deines Projekts beeinträchtigen könnten. So kannst du gefährliche Abhängigkeiten erkennen und behandeln, bevor sie deine Codebasis erreichen, und nicht erst danach. Weitere Informationen findest du unter Überprüfen von Abhängigkeitsänderungen in einem Pull Request.

Eine Liste der Ökosysteme, in denen GitHub Enterprise Server unsichere Abhängigkeiten erkennen kann, findest du unter Informationen zum Abhängigkeitsdiagramm.

Hinweis: Du musst dein Manifest und deine Sperrdateien auf dem neuesten Stand halten. Wenn das Abhängigkeitsdiagramm deine aktuellen Abhängigkeiten und Versionen nicht genau widerspiegelt, kannst du Warnungen zu unsicheren Abhängigkeiten verpassen, die du verwendest. Möglicherweise erhältst du auch Warnungen für Abhängigkeiten, die du nicht mehr verwendest.

Konfigurieren von Dependabot alerts

Unternehmensbesitzer müssen Dependabot alerts für deine GitHub Enterprise Server-Instanz aktivieren, bevor du dieses Feature nutzen kannst. Weitere Informationen finden Sie unter Aktivieren von Dependabot für dein Unternehmen.

Wenn GitHub Enterprise Server eine Abhängigkeit mit Sicherheitsrisiken, wird eine Dependabot-Warnung generiert und auf der Registerkarte Sicherheit für das Repository und im Abhängigkeitsdiagramm des Repositorys angezeigt. Die Warnung enthält einen Link zur betroffenen Datei im Projekt sowie Informationen zu einer Version, bei der das Problem behoben wurde. GitHub Enterprise Server kann auch die Verwalter betroffener Repositorys über die neue Warnung gemäß ihren Benachrichtigungseinstellungen benachrichtigen. Weitere Informationen findest du unter Konfigurieren von Benachrichtigungen für Dependabot-Warnungen.

Bei Repositorys, für die Dependabot security updates aktiviert ist, kann die Warnung außerdem einen Link zu einem Pull Request enthalten, um die Manifest- oder Sperrdatei auf die Mindestversion zu aktualisieren, die die Sicherheitslücke behebt. Weitere Informationen findest du unter Informationen zu Dependabot-Sicherheitsupdates.

Hinweis: Die Sicherheitsfeatures von GitHub Enterprise Server können nicht garantieren, dass alle Sicherheitsrisiken. Die GitHub Advisory Database wird aktiv verwaltet, und Warnungen werden mithilfe der aktuellsten Informationen generiert. Allerdings kann nicht alles erkannt sowie kein Zeitrahmen zur Benachrichtigung über bekannte Sicherheitsrisiken garantiert werden. Diese Features können das Überprüfen der einzelnen Abhängigkeiten auf potenzielle Sicherheitsrisiken oder andere Probleme durch Menschen nicht ersetzen. Es wird empfohlen, sich bei Bedarf mit einem Sicherheitsdienst in Verbindung zu setzen oder eine gründliche Überprüfung der Abhängigkeiten durchzuführen.

Zugriff auf Dependabot alerts

Du kannst alle Warnungen, die sich auf ein bestimmtes Projekt auswirken, im Abhängigkeitsdiagramm des Repositorys sehen. Weitere Informationen findest du unter Anzeigen und Aktualisieren von Dependabot-Warnungen.

Personen mit Administratorberechtigungen in den betroffenen Repositorys werden standardmäßig über neue Dependabot alerts benachrichtigt.

Um Benachrichtigungen über Dependabot alerts zu Repositorys zu erhalten, musst du diese Repositorys überwachen und den Erhalt von Benachrichtigungen für „Alle Aktivitäten“ abonnieren oder benutzerdefinierte Einstellungen so konfigurieren, dass sie „Sicherheitswarnungen“ umfassen. Weitere Informationen finden Sie unter Benachrichtigungen konfigurieren. Du kannst die Übermittlungsmethode für Benachrichtigungen sowie die Häufigkeit auswählen, in der die Benachrichtigungen an dich gesendet werden. Weitere Informationen findest du unter Konfigurieren von Benachrichtigungen für Dependabot-Warnungen.

Du kannst auch alle Dependabot alerts anzeigen, die einer bestimmten Empfehlung in der GitHub Advisory Database entsprechen. Weitere Informationen findest du unter Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database.

Weitere Informationsquellen