Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Konfigurieren von Dependabot-Sicherheitsupdates

Du kannst Dependabot security updates oder manuelle Pull Requests verwenden, um anfällige Abhängigkeiten einfach zu aktualisieren.

Hinweis: Dein Websiteadministrator muss Dependabot updates für your GitHub Enterprise Server instance einrichten, damit du dieses Feature verwenden kannst. Weitere Informationen findest du unter Aktivieren von Dependabot für dein Unternehmen.

Informationen zum Konfigurieren von Dependabot security updates

Du kannst Dependabot security updates auf Repositoryebene oder für alle Repositorys aktivieren, die zu deinem persönlichen Konto oder zu deiner Organisation gehören. Du kannst Dependabot security updates für jedes Repository aktivieren, das Dependabot alerts und das Abhängigkeitsdiagramm verwendet. Weitere Informationen findest du unter Informationen zu Dependabot security updates.

Du kannst Dependabot security updates für ein einzelnes Repository oder für alle Repositorys deaktivieren, die zu deinem persönlichen Konto oder zu deiner Organisation gehören.

Unterstützte Repositorys

GitHub aktiviert automatisch Dependabot security updates für neu erstellte Repositorys, wenn dein persönliches Konto oder deine Organisation die Option Automatisch für neue Repositorys aktivieren für Dependabot security updates aktiviert hat. Weitere Informationen findest du unter Verwalten von Dependabot security updates für deine Repositorys.

Wenn du einen Fork eines Repositorys mit aktivierten Sicherheitsupdates erstellst, deaktiviert GitHub automatisch Dependabot security updates für den Fork. Anschließend kannst du entscheiden, ob Dependabot security updates für den bestimmten Fork aktiviert werden sollen.

Wenn Sicherheitsupdates für dein Repository nicht aktiviert sind und du den Grund dafür nicht kennst, versuche zunächst, sie mithilfe der weiter unten bereitgestellten Schritt-für-Schritt-Anleitungen zu aktivieren. Sollten Sicherheitsupdates trotzdem nicht funktionieren, kannst du dich an folgende Stelle wenden: your site administrator.

Verwalten von Dependabot security updates für deine Repositorys

Du kannst Dependabot security updates für alle geeigneten Repositorys deaktivieren, die zu deinem persönlichen Konto oder zu deiner Organisation gehören. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein persönliches Konto oder unter Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.

Du kannst Dependabot security updates auch für ein einzelnes Repository aktivieren oder deaktivieren.

Aktivieren oder Deaktivieren von Dependabot security updates für ein einzelnes Repository

  1. Navigiere auf your GitHub Enterprise Server instance zur Hauptseite des Repositorys. 1. Klicke unter dem Repositorynamen auf Einstellungen. Schaltfläche „Repositoryeinstellungen“

  2. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  3. Klicke unter „Codesicherheit und -analyse“ rechts neben „Dependabot-Sicherheitsupdates“ auf Aktivieren, um das Feature zu aktivieren, oder auf Deaktivieren, um es zu deaktivieren. Screenshot des Abschnitts „Codesicherheit und Analyse“ mit Schaltfläche zum Aktivieren von Dependabot security updates

Überschreiben des Standardverhaltens mit einer Konfigurationsdatei

Du kannst das Standardverhalten von Dependabot security updates außer Kraft setzen, indem du deinem Repository eine dependabot.yml-Datei hinzufügst. Weitere Informationen findest du unter Konfigurationsoptionen für die Datei „dependabot.yml“.

Wenn du nur Sicherheitsupdates benötigst und die Versionsupdates ausschließen möchtest, kannst du open-pull-requests-limit auf 0 festlegen, um Versionsupdates für ein angegebenes package-ecosystem zu verhindern. Weitere Informationen findest du unter open-pull-requests-limit.

# Example configuration file that:
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "lodash"
        # For Lodash, ignore all updates
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0

Weitere Informationen zur Konfigurationsoptionen, die für Sicherheitsupdates verfügbar sind, findest du in der Tabelle unter Konfigurationsoptionen für die Datei „dependabot.yml“.

Weitere Informationsquellen