Diese Version von GitHub Enterprise Server wurde eingestellt am 2023-09-12. Es wird keine Patch-Freigabe vorgenommen, auch nicht für kritische Sicherheitsprobleme. Für bessere Leistung, verbesserte Sicherheit und neue Features aktualisiere auf die neueste Version von GitHub Enterprise Server. Wende dich an den GitHub Enterprise-Support, um Hilfe zum Upgrade zu erhalten.

Anzeigen und Aktualisieren von Dependabot-Warnungen

Abrufen von Benachrichtigungen über unsichere Abhängigkeiten

3 von 7 im Lernpfad
Nächste:Konfigurieren von Benachrichtigungen für Dependabot-Warnungen

In diesem Artikel

Wenn GitHub Enterprise Server unsichere Abhängigkeiten in deinem Projekt erkennt, kannst du die Details dazu auf der Registerkarte „Dependabot-Warnungen“ deines Repositorys anzeigen. Anschließend kannst du dein Projekt aktualisieren, um die Warnung zu verwerfen oder zu löschen.

Wer kann dieses Feature verwenden?

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

Hinweis: Dein Websiteadministrator muss Dependabot updates für deine GitHub Enterprise Server-Instanz einrichten, damit du dieses Feature verwenden kannst. Weitere Informationen findest du unter Aktivieren von Dependabot für dein Unternehmen.

Auf der Dependabot alerts-Registerkarte deines Repositorys werden alle offenen und geschlossenen Dependabot alerts und die entsprechenden Dependabot security updates angezeigt. Du kannst Warnungen nach Paket, Ökosystem oder Manifest filtern. Du kannst die Warnungsliste sortieren, und du kannst auf bestimmte Warnungen klicken, um weitere Details anzuzeigen. Du kannst Warnungen auch verwerfen oder erneut öffnen. Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen.

Du kannst automatische Sicherheitsupdates für jedes Repository aktivieren, das Dependabot alerts und das Abhängigkeitsdiagramm verwendet. Weitere Informationen findest du unter Informationen zu Dependabot-Sicherheitsupdates.

Informationen zu Updates für anfällige Abhängigkeiten in deinem Repository

GitHub Enterprise Server generiert Dependabot alerts, wenn erkannt wird, dass der Standardbranch der Codebasis Abhängigkeiten verwendet, für die Sicherheitsrisiken bekannt sind. Wenn GitHub Enterprise Server bei Repositorys mit aktivierten Dependabot security updates eine anfällige Abhängigkeit im Standardbranch erkennt, erstellt Dependabot einen Pull Request, um diese zu beheben. Der Pull Request aktualisiert die Abhängigkeit auf die minimal mögliche sichere Version, die erforderlich ist, um das Sicherheitsrisiko zu vermeiden.

Jede Dependabot-Warnung verfügt über einen eindeutigen numerischen Bezeichner, und auf der Dependabot alerts-Registerkarte wird eine Warnung für jedes erkannte Sicherheitsrisiko aufgeführt. Dependabot alerts-Legacywarnungen haben Sicherheitsrisiken nach Abhängigkeit gruppiert und eine einzelne Warnung pro Abhängigkeit generiert. Wenn du zu einer Dependabot-Legacywarnung navigierst, wirst du zu einer Dependabot alerts-Registerkarte weitergeleitet, die nach diesem Paket gefiltert ist.

Du kannst Dependabot alerts mithilfe einer Vielzahl von Filtern und Sortieroptionen filtern und sortieren, die auf der Benutzeroberfläche verfügbar sind. Weitere Informationen findest du im Folgenden unter Priorisieren von Dependabot alerts.

Du kannst auch Aktionen überwachen, die als Reaktion auf Dependabot-Warnungen ausgeführt wurden. Weitere Informationen findest du unter Prüfen von Sicherheitswarnungen.

Priorisieren von Dependabot alerts

GitHub unterstützt dich dabei, die Korrektur von Dependabot alerts zu priorisieren.

Anzeige von Dependabot alerts

  1. Navigiere auf deine GitHub Enterprise Server-Instanz zur Hauptseite des Repositorys.
  2. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus. Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.
  3. Klicke auf der Randleiste der Sicherheitsübersicht auf Dependabot . Wenn diese Option fehlt, bedeutet das, dass du keinen Zugriff auf die Sicherheitswarnungen hast und dir Zugriff gewährt werden muss. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository. Screenshot der Sicherheitsübersicht mit dunkelorange umrandeter Registerkarte „Dependabot“.
  4. Optional kannst du zum Filtern von Warnungen einen Filter in einem Dropdownmenü auswählen und dann auf den Filter klicken, den du anwenden möchtest. Du kannst Filter auch in die Suchleiste eingeben. Weitere Informationen zum Filtern und Sortieren von Warnungen findest du unter Priorisieren von Dependabot alerts.
  5. Klicke auf die Warnung, die du anzeigen möchtest.

Überprüfen und Beheben von Warnungen

Es ist wichtig, sicherzustellen, dass keine deiner Abhängigkeiten Sicherheitslücken aufweist. Wenn Dependabot Sicherheitsrisiken in deinen Abhängigkeiten erkennt, solltest du den Grad der Gefährdung deines Projekts einschätzen und festlegen, welche Maßnahmen zur Entschärfung du ergreifen musst, um deine Anwendung abzusichern.

Wenn eine gepatchte Version der Abhängigkeit verfügbar ist, kannst du einen Dependabot-Pull Request generieren, um die betroffene Abhängigkeit direkt aus einer Dependabot-Warnung zu aktualisieren. Wenn du Dependabot security updates aktiviert hast, kann der Pull Request in der Dependabot-Warnung verlinkt werden.

In Fällen, in denen keine gepatchte Version verfügbar ist oder du nicht auf die sichere Version aktualisieren kannst, stellt Dependabot zusätzliche Informationen zur Verfügung, damit du die nächsten Schritte festlegen kannst. Wenn du auf eine Dependabot-Warnung klickst, kannst du die vollständigen Details zur Sicherheitsempfehlung für die Abhängigkeit einschließlich der betroffenen Funktionen anzeigen. Du kannst dann überprüfen, ob dein Code die betroffenen Funktionen aufruft. Diese Informationen können dir helfen, den Gefährdungsgrad einzuschätzen und zu entscheiden, ob du das Risiko, das der Sicherheitshinweis angibt, in Kauf nehmen kannst oder nicht.

Beheben von anfälligen Abhängigkeiten

  1. Sieh dir die Details zu einer Warnung an. Weitere Informationen findest du unter Anzeigen von Dependabot alerts weiter oben.

  2. Wenn du Dependabot security updates aktiviert hast, gibt es möglicherweise einen Link zu einem Pull Request, der die Abhängigkeit behebt. Alternativ kannst du oben auf der Seite mit den Warnungsdetails auf Dependabot-Sicherheitsupdate erstellen klicken, um einen Pull Request zu erstellen.

    Screenshot einer Dependabot-Warnung mit der Schaltfläche „Dependabot-Sicherheitsupdate erstellen“, die dunkelorange umrandet ist.

  3. (Optional) Falls du Dependabot security updates nicht verwendest, kannst du anhand der Informationen auf der Seite entscheiden, auf welche Version der Abhängigkeit du ein Upgrade durchführen möchtest und einen Pull Request erstellen, um die Abhängigkeit auf eine sichere Version zu aktualisieren.

  4. Wenn du zum Aktualisieren deiner Abhängigkeit und zum Beheben deiner Schwachstelle bereit bist, führe den Merge für den Pull Request durch.

Jeder von Dependabot ausgelöste Pull Request enthält Informationen zu Befehlen, mit denen du Dependabot steuern kannst. Weitere Informationen findest du unter Verwalten von Pull Requests für Abhängigkeitsupdates.

Schließen von Dependabot alerts

Tipp: Du kannst nur offene Warnungen verwerfen.

Wenn du umfangreiche Arbeiten zum Upgrade einer Abhängigkeit planst oder entscheidest, dass für eine Warnung keine Maßnahmen ergriffen werden müssen, kannst du die Warnung schließen. Durch das Schließen von bereits bewerteten Warnungen kannst du neue Warnungen leichter einordnen, sobald sie auftreten.

  1. Sieh dir die Details zu einer Warnung an. Weitere Informationen findest du unter Anzeigen von anfälligen Abhängigkeiten (oben).

  2. Wähle das Dropdownmenü „Schließen“ aus, und klicke auf einen Grund für das Schließen der Warnung. Nicht behobene geschlossene Warnungen können später erneut geöffnet werden.

    Screenshot der Seite für eine Dependabot-Warnung mit dem Dropdownmenü „Schließen“ und den zugehörigen Optionen, die dunkelorange umrandet sind.

Anzeigen und Aktualisieren von geschlossenen Warnungen

Du kannst alle geöffneten Warnungen anzeigen und Warnungen erneut öffnen, die zuvor geschlossen wurden. Geschlossene Warnungen, die bereits behoben wurden, können nicht erneut geöffnet werden.

  1. Navigiere auf deine GitHub Enterprise Server-Instanz zur Hauptseite des Repositorys.

  2. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus. Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicke auf der Randleiste der Sicherheitsübersicht auf Dependabot . Wenn diese Option fehlt, bedeutet das, dass du keinen Zugriff auf die Sicherheitswarnungen hast und dir Zugriff gewährt werden muss. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository. Screenshot der Sicherheitsübersicht mit dunkelorange umrandeter Registerkarte „Dependabot“.

  4. Klicke auf Geschlossen, um geschlossene Warnungen anzuzeigen.

  5. Klicke auf die Warnung, die du anzeigen oder aktualisieren möchtest.

  6. Alternativ kannst du auf Erneut öffnen klicken, wenn die Datei geschlossen wurde und du sie wieder öffnen möchtest. Warnungen, die bereits behoben wurden, können nicht erneut geöffnet werden.

    Screenshot: geschlossene Dependabot-Warnung Eine Schaltfläche mit dem Titel „Erneut öffnen“ ist dunkelorange umrandet.

Überprüfen der Überwachungsprotokolle für Dependabot alerts

Wenn ein Mitglied deiner Organisation oder deines Unternehmens eine Aktion im Zusammenhang mit Dependabot alerts ausführt, kannst du die Aktionen im Überwachungsprotokoll überprüfen. Weitere Informationen zum Zugriff auf das Protokoll findest du unter Auditprotokoll deiner Organisation überprüfen und Zugreifen auf das Überwachungsprotokoll für dein Unternehmen.

Ereignisse in deinem Überwachungsprotokoll für Dependabot alerts enthalten Details, z. B. wer die Aktion ausgeführt hat, was die Aktion war und wann die Aktion ausgeführt wurde. Informationen zu den Dependabot alerts-Aktionen findest du in der repository_vulnerability_alert-Kategorie unter Überwachungsprotokollereignisse für deine Organisation und Überwachungsprotokollereignisse für dein Unternehmen.

VorherigeVerwalten von Sicherheits- und Analyseeinstellungen für dein RepositoryNächsteKonfigurieren von Benachrichtigungen für Dependabot-Warnungen