Diese Version von GitHub Enterprise Server wird eingestellt am 2023-12-20. Es wird keine Patch-Freigabe vorgenommen, auch nicht für kritische Sicherheitsprobleme. Für bessere Leistung, verbesserte Sicherheit und neue Features aktualisiere auf die neueste Version von GitHub Enterprise Server. Wende dich an den GitHub Enterprise-Support, um Hilfe zum Upgrade zu erhalten.

Konfigurieren von Dependabot-Sicherheitsupdates

In diesem Artikel

Du kannst Dependabot security updates oder manuelle Pull Requests verwenden, um anfällige Abhängigkeiten einfach zu aktualisieren.

Hinweis: Dein Websiteadministrator muss Dependabot updates für deine GitHub Enterprise Server-Instanz einrichten, damit du dieses Feature verwenden kannst. Weitere Informationen findest du unter Aktivieren von Dependabot für dein Unternehmen.

Informationen zum Konfigurieren von Dependabot security updates

Du kannst Dependabot security updates für jedes Repository aktivieren, das Dependabot alerts und das Abhängigkeitsdiagramm verwendet. Weitere Informationen findest du unter Informationen zu Dependabot-Sicherheitsupdates.

Du kannst Dependabot security updates für ein einzelnes Repository oder für alle Repositorys, die sich im Besitz deines persönliches Konto oder der Organisation befinden, aktivieren oder deaktivieren. Weitere Informationen zum Aktivieren von Sicherheitsfeatures in einer Organisation findest du unter Schützen deiner Organisation.

Unterstützte Repositorys

GitHub aktiviert automatisch Dependabot security updates für neu erstellte Repositorys, wenn dein persönliches Konto oder deine Organisation die Option Automatisch für neue Repositorys aktivieren für Dependabot security updates aktiviert hat. Weitere Informationen findest du unter Verwalten von Dependabot security updates für deine Repositorys.

Wenn du einen Fork eines Repositorys mit aktivierten Sicherheitsupdates erstellst, deaktiviert GitHub automatisch Dependabot security updates für den Fork. Anschließend kannst du entscheiden, ob Dependabot security updates für den bestimmten Fork aktiviert werden sollen.

Wenn Sicherheitsupdates für dein Repository nicht aktiviert sind und du den Grund dafür nicht kennst, versuche zunächst, sie mithilfe der weiter unten bereitgestellten Schritt-für-Schritt-Anleitungen zu aktivieren. Sollten Sicherheitsupdates trotzdem nicht funktionieren, kannst du dich an folgende Stelle wenden: deine Websiteadministrator*innen.

Verwalten von Dependabot security updates für deine Repositorys

Du kannst Dependabot security updates für alle geeigneten Repositorys deaktivieren, die zu deinem persönlichen Konto oder zu deiner Organisation gehören. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein persönliches Konto oder Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.

Du kannst Dependabot security updates auch für ein einzelnes Repository aktivieren oder deaktivieren.

Aktivieren oder Deaktivieren von Dependabot security updates für ein einzelnes Repository

  1. Navigiere auf deine GitHub Enterprise Server-Instanz zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Klicke unter „Codesicherheit und -analyse“ rechts neben „Dependabot-Sicherheitsupdates“ auf Aktivieren, um das Feature zu aktivieren, oder auf Deaktivieren, um es zu deaktivieren.

Überschreiben des Standardverhaltens mit einer Konfigurationsdatei

Du kannst das Standardverhalten von Dependabot security updates außer Kraft setzen, indem du deinem Repository eine dependabot.yml-Datei hinzufügst. Weitere Informationen findest du unter Konfigurationsoptionen für die Datei dependabot.yml.

Wenn du nur Sicherheitsupdates benötigst und die Versionsupdates ausschließen möchtest, kannst du open-pull-requests-limit auf 0 festlegen, um Versionsupdates für ein angegebenes package-ecosystem zu verhindern. Weitere Informationen findest du unter Konfigurationsoptionen für die Datei dependabot.yml.

# Example configuration file that:
#  - Has a private registry
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
registries:
  example:
    type: npm-registry
    url: https://example.com
    token: ${{secrets.NPM_TOKEN}}
updates:
  - package-ecosystem: "npm"
    directory: "/src/npm-project"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "lodash"
        # For Lodash, ignore all updates
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0
    registries:
      - example

Hinweis: Damit Dependabot diese Konfiguration für Sicherheitsupdates verwenden kann, muss directory der Pfad zu den Manifestdateien sein, und es sollte kein target-branch angegeben werden.

Weitere Informationen zur Konfigurationsoptionen, die für Sicherheitsupdates verfügbar sind, findest du in der Tabelle unter Konfigurationsoptionen für die Datei dependabot.yml.

Weiterführende Themen