Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Aktivieren von Dependabot für dein Unternehmen

Du kannst Benutzern von your GitHub Enterprise Server instance erlauben, Sicherheitsrisiken in Codeabhängigkeiten zu ermitteln und zu beheben, indem du Dependabot alerts und Dependabot updates aktivierst.

Who can use this feature

Enterprise owners can enable Dependabot.

Informationen zu Dependabot für GitHub Enterprise Server

Dependabot hilft Benutzern von your GitHub Enterprise Server instance beim Ermitteln und Beheben von Sicherheitsrisiken in ihren Abhängigkeiten. Du kannst Dependabot alerts verwenden, um Benutzer über Abhängigkeiten mit Sicherheitsrisiken zu informieren, und Dependabot updates, um die Sicherheitsrisiken zu beheben und die Abhängigkeiten auf die neueste Version zu aktualisieren.

Dependabot ist nur eines von vielen verfügbaren Features, um die Lieferkettensicherheit für your GitHub Enterprise Server instance zu verstärken. Weitere Informationen zu den anderen Features findest du unter Informationen zur Lieferkettensicherheit für dein Unternehmen.

Informationen zu Dependabot alerts

Mit Dependabot alerts identifiziert GitHub unsichere Abhängigkeiten in Repositorys und erstellt Warnungen in your GitHub Enterprise Server instance mithilfe von Daten aus GitHub Advisory Database und dem Abhängigkeitsdiagrammdienst.

Wir fügen der GitHub Advisory Database Hinweise aus den folgenden Quellen hinzu:

Wenn du eine andere Datenbank kennst, aus der wir Empfehlungen importieren sollten, informiere uns darüber, indem du ein Problem in https://github.com/github/advisory-database öffnest.

Nach dem Aktivieren von Dependabot alerts für dein Unternehmen werden die Sicherheitsrisikodaten von GitHub Advisory Database einmal stündlich mit deiner Instanz synchronisiert. Nur von GitHub überprüfte Empfehlungen werden synchronisiert. Weitere Informationen findest du unter Durchsuchen von Sicherheitsempfehlungen in GitHub Advisory Database.

Du kannst die Schwachstellendaten auch jederzeit manuell synchronisieren. Weitere Informationen findest du unter Anzeigen der Sicherheitsrisikodaten für dein Unternehmen.

Hinweis: Wenn du Dependabot alerts aktivierst, wird keinerlei Code bzw. werden keine Informationen zum Code aus your GitHub Enterprise Server instance nach GitHub.com hochgeladen.

Wenn your GitHub Enterprise Server instance Informationen über Sicherheitsrisiken empfängt, kennzeichnet es Repositorys in your GitHub Enterprise Server instance, die die betroffene Version der Abhängigkeit verwenden, und generiert Dependabot alerts. Du kannst auswählen, ob Benutzer automatisch über neue Dependabot alerts benachrichtigt werden sollen.

Für Repositorys mit aktivierten Dependabot alerts wird das Scannen bei einem Push am Standardzweig ausgelöst, der eine Manifestdatei oder Sperrdatei enthält. Wenn your GitHub Enterprise Server instance ein neuer Sicherheitsrisikodatensatz hinzugefügt wird, überprüft GitHub Enterprise Server alle vorhandenen Repositorys auf your GitHub Enterprise Server instance und generiert Warnungen für jedes Repository mit einem Sicherheitsrisiko. Weitere Informationen findest du unter Informationen zu Dependabot alerts.

Informationen zu Dependabot updates

Nach dem Aktivieren von Dependabot alerts kannst du Dependabot updates aktivieren. Wenn Dependabot updates für your GitHub Enterprise Server instance aktiviert sind, können Benutzer Repositorys so konfigurieren, dass ihre Abhängigkeiten aktualisiert und automatisch geschützt werden.

Hinweis: Dependabot updates in GitHub Enterprise Server erfordert GitHub Actions mit selbst gehosteten Runnern.

Standardmäßig benötigen GitHub Actions-Runner, die von Dependabot verwendet werden, Zugriff auf das Internet, um aktualisierte Pakete aus dem Upstreampaket-Manager herunterzuladen. Für Dependabot updates, das von GitHub Connect unterstützt wird, bietet der Internetzugriff deinen Runnern ein Token, das den Zugriff auf Abhängigkeiten und Empfehlungen ermöglicht, die auf GitHub.com gehostet werden.

Mit Dependabot updates erstellt GitHub automatisch Pullanforderungen, um Abhängigkeiten auf zwei Arten zu aktualisieren.

  • Dependabot version updates: Benutzer fügen dem Repository eine Dependabot-Konfigurationsdatei hinzu, um Dependabot zu ermöglichen, Pullanforderungen zu erstellen, wenn eine neue Version einer nachverfolgten Abhängigkeit veröffentlicht wird. Weitere Informationen findest du unter Informationen zu Dependabot version updates.
  • Dependabot security updates: Benutzer können eine Repositoryeinstellung aktivieren, um Dependabot zu aktivieren, um Pullanforderungen zu erstellen, wenn GitHub eine Sicherheitsanfälligkeit in einem der Abhängigkeitsdiagramme für das Repository erkennt. Weitere Informationen findest du unter Informationen zu Dependabot alerts und Informationen zu Dependabot security updates.

Aktivieren von Dependabot alerts

Bevor du Dependabot alerts für Folgendes aktivieren kannst:

  1. Klicke oben rechts auf GitHub Enterprise Server auf dein Profilfoto und dann auf Unternehmenseinstellungen. „Unternehmenseinstellungen“ im Dropdownmenü für das Profilfoto auf GitHub Enterprise Server 1. Klicke auf der Randleiste des Unternehmenskontos auf GitHub Connect . Registerkarte „GitHub Connect“ auf der Randleiste des Unternehmenskontos

  2. Wähle unter Dependabot rechts von „Benutzer können Sicherheitsrisiken für Open-Source-Codeabhängigkeiten erhalten“ das Dropdownmenü aus und klicke auf Aktiviert ohne Benachrichtigungen. Klicke optional zum Aktivieren von Warnungen mit Benachrichtigungen auf Aktiviert mit Benachrichtigungen.

    Screenshot des Dropdownmenüs zum Aktivieren der Überprüfung von Repositorys auf Sicherheitsrisiken

    Tipp: Es wird empfohlen, Dependabot alerts ohne Benachrichtigungen für die ersten Tage zu konfigurieren, um eine Überladung mit E-Mails zu vermeiden. Nach einigen Tagen kannst du Benachrichtigungen aktivieren, um Dependabot alerts wie gewohnt zu empfangen.

Aktivieren von Dependabot updates

Nach dem Aktivieren von Dependabot alerts für dein Unternehmen kannst du Dependabot updates aktivieren.

Bevor du Dependabot updates aktivierst, musst du your GitHub Enterprise Server instance konfigurieren, um GitHub Actions mit selbstgehosteten Runnern zu verwenden. Weitere Informationen findest du unter Erste Schritte mit GitHub Actions für GitHub Enterprise Server.

Dependabot updates werden in GitHub Enterprise Server nicht unterstützt, wenn dein Unternehmen Clustering verwendet.

  1. Melde dich unter http(s)://HOSTNAME/login bei your GitHub Enterprise Server instance an. 1. Klicke in einem Verwaltungskonto auf GitHub Enterprise Server, und klicke in der oberen rechten Ecke einer beliebigen Seite auf .

    Screenshot des Raketensymbols für den Zugriff auf Websiteadministratoreinstellungen

  2. Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator.

    Screenshot des Links „Websiteadministrator“ 1. Klicke auf der linken Seitenleiste auf Management Console . Registerkarte Management Console auf der linken Seitenleiste 1. Klicke auf der linken Randleiste auf Sicherheit. Randleiste „Sicherheit“

  3. Wähle unter „Sicherheit“ Dependabot security updates aus.

    Screenshot des Kontrollkästchens zum Aktivieren oder Deaktivieren von Dependabot security updates

  4. Klicke unter der linken Randleiste auf Einstellungen speichern.

    Screenshot der Schaltfläche „Einstellungen speichern“ in der Management Console

    Hinweis: Durch das Speichern von Einstellungen in der Management Console werden Systemdienste neu gestartet, was zu einer für den Benutzer feststellbaren Downtime führen könnte.

  5. Warten Sie auf den Abschluss der Konfigurationsausführung.

    „Configuring your instance“ (Instanz konfigurieren)

  6. Klicke auf Instanz aufrufen.

  7. Konfiguriere dedizierte, selbstgehostete Runner, um die Pull Requests zu erstellen, mit denen die Abhängigkeiten aktualisiert werden. Dies ist erforderlich, da die Workflows eine bestimmte Runnerbezeichnung verwenden. Weitere Informationen findest du unter Verwalten von selbst gehosteten Runnern für Dependabot updates in deinem Unternehmen.

  8. Klicke oben rechts auf GitHub Enterprise Server auf dein Profilfoto und dann auf Unternehmenseinstellungen. „Unternehmenseinstellungen“ im Dropdownmenü für das Profilfoto auf GitHub Enterprise Server 1. Klicke auf der Randleiste des Unternehmenskontos auf GitHub Connect . Registerkarte „GitHub Connect“ auf der Randleiste des Unternehmenskontos

  9. Klicke unter Dependabot rechts von „Benutzer können einfach auf Open Source Codeabhängigkeiten ohne Sicherheitsrisiken aktualisieren“ auf Aktivieren.

    Screenshot des Dropdownmenüs zum Aktivieren der Aktualisierung Abhängigkeiten mit Sicherheitsrisiken

Wenn du Dependabot alerts aktivierst, denke auch über die Einrichtung von GitHub Actions für Dependabot security updates nach. Dieses Feature ermöglicht Entwicklern, Sicherheitsrisiken in ihren Abhängigkeiten zu beheben. Weitere Informationen findest du unter Verwalten von selbst gehosteten Runnern für Dependabot updates in deinem Unternehmen.

Wenn du erweiterte Sicherheit benötigst, wird empfohlen, Dependabot zu konfigurieren, um private Registrierungen zu verwenden. Weitere Informationen findest du unter Verwalten verschlüsselter Geheimnisse für Dependabot.