Skip to main content

Aktivieren von Dependabot für dein Unternehmen

Du kannst Benutzer*innen von Ihre GitHub Enterprise Server-Instance dabei helfen, Sicherheitsrisiken in Codeabhängigkeiten zu ermitteln und zu beheben, indem du Dependabot alerts und Dependabot updateseinrichtest.

Wer kann dieses Feature verwenden?

Enterprise owners can set up Dependabot.

Informationen zu Dependabot für GitHub Enterprise Server

Dependabot hilft Benutzerinnen von Ihre GitHub Enterprise Server-Instance beim Ermitteln und Beheben von Sicherheitsrisiken in ihren Abhängigkeiten. Du musst zunächst Dependabot für dein Unternehmen einrichten und kannst Dependabot alerts aktivieren, um Benutzerinnen über Sicherheitsrisiken und Dependabot updates zu informieren, mit denen die Sicherheitsrisiken behoben und Abhängigkeiten auf dem neuesten Stand gehalten werden können.

Dependabot ist nur eines von vielen verfügbaren Features, um die Lieferkettensicherheit für Ihre GitHub Enterprise Server-Instance zu verstärken. Weitere Informationen zu den anderen Features findest du unter Informationen zur Lieferkettensicherheit für dein Unternehmen.

Informationen zu Dependabot alerts

Mit Dependabot alerts identifiziert GitHub unsichere Abhängigkeiten in Repositorys und erstellt Warnungen in Ihre GitHub Enterprise Server-Instance mithilfe von Daten aus GitHub Advisory Database und dem Abhängigkeitsdiagrammdienst.

Wir fügen der GitHub Advisory Database Hinweise aus den folgenden Quellen hinzu:

Wenn du eine andere Datenbank kennst, aus der wir Empfehlungen importieren sollten, informiere uns darüber, indem du ein Problem in https://github.com/github/advisory-database öffnest.

Nach dem Einrichten von Dependabot für dein Unternehmen werden sicherheitsrelevante Daten aus der GitHub Advisory Database einmal stündlich mit deiner Instanz synchronisiert. Nur von GitHub überprüfte Empfehlungen werden synchronisiert. Weitere Informationen findest du unter Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database.

Du kannst die Schwachstellendaten auch jederzeit manuell synchronisieren. Weitere Informationen findest du unter Anzeigen von Daten zu Sicherheitsrisiken für dein Unternehmen.

Hinweis: Wenn du Dependabot alerts aktivierst, wird keinerlei Code bzw. werden keine Informationen zum Code aus Ihre GitHub Enterprise Server-Instance nach GitHub.com hochgeladen.

Wenn Ihre GitHub Enterprise Server-Instance Informationen über Sicherheitsrisiken empfängt, kennzeichnet es Repositorys in Ihre GitHub Enterprise Server-Instance, die die betroffene Version der Abhängigkeit verwenden, und generiert Dependabot alerts. Du kannst auswählen, ob Benutzer automatisch über neue Dependabot alerts benachrichtigt werden sollen.

Für Repositorys mit aktivierten Dependabot alerts wird das Scannen bei einem Push am Standardzweig ausgelöst, der eine Manifestdatei oder Sperrdatei enthält. Wenn Ihre GitHub Enterprise Server-Instance ein neuer Sicherheitsrisikodatensatz hinzugefügt wird, überprüft GitHub Enterprise Server alle vorhandenen Repositorys auf Ihre GitHub Enterprise Server-Instance und generiert Warnungen für jedes Repository mit einem Sicherheitsrisiko. Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen.

Informationen zu Dependabot updates

Nach dem Aktivieren von Dependabot alerts kannst du Dependabot updates aktivieren. Wenn Dependabot updates für Ihre GitHub Enterprise Server-Instance aktiviert sind, können Benutzer Repositorys so konfigurieren, dass ihre Abhängigkeiten aktualisiert und automatisch geschützt werden.

Hinweis: Dependabot updates in GitHub Enterprise Server erfordert GitHub Actions mit selbst gehosteten Runnern.

Standardmäßig benötigen GitHub Actions-Runner, die von Dependabot verwendet werden, Zugriff auf das Internet, um aktualisierte Pakete aus dem Upstreampaket-Manager herunterzuladen. Für Dependabot updates, das von GitHub Connect unterstützt wird, bietet der Internetzugriff deinen Runnern ein Token, das den Zugriff auf Abhängigkeiten und Empfehlungen ermöglicht, die auf GitHub.com gehostet werden.

Du kannst Dependabot updates für deine bestimmten privaten Registrierungen auf GitHub Enterprise Server-Instanzen mit eingeschränktem oder keinem Internetzugriff aktivieren. Weitere Informationen findest du unter Konfigurieren von Dependabot für die Arbeit bei eingeschränktem Internetzugriff.

Mit Dependabot updates erstellt GitHub automatisch Pullanforderungen, um Abhängigkeiten auf zwei Arten zu aktualisieren.

  • Dependabot version updates: Benutzer fügen dem Repository eine Dependabot-Konfigurationsdatei hinzu, um Dependabot zu ermöglichen, Pullanforderungen zu erstellen, wenn eine neue Version einer nachverfolgten Abhängigkeit veröffentlicht wird. Weitere Informationen findest du unter Informationen zu Updates von Dependabot-Versionen.
  • Dependabot security updates: Benutzer können eine Repositoryeinstellung aktivieren, um Dependabot zu aktivieren, um Pullanforderungen zu erstellen, wenn GitHub eine Sicherheitsanfälligkeit in einem der Abhängigkeitsdiagramme für das Repository erkennt. Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen und unter Informationen zu Dependabot-Sicherheitsupdates.

Aktivieren von Dependabot alerts

Bevor du Dependabot alerts aktivieren kannst, musst du zunächst Dependabot für dein Unternehmen einrichten.:

  1. Klicken Sie in der oberen rechten Ecke von GitHub Enterprise Server auf Ihr Profilfoto und dann auf Unternehmenseinstellungen.

    Screenshot des Dropdownmenüs, das angezeigt wird, wenn du auf GitHub Enterprise Server auf das Profilfoto klickst. Die Option „Unternehmenseinstellungen “ ist dunkelorange umrandet.

  2. Wähle auf der Randleiste des Unternehmenskontos die Option GitHub Connect aus.

  3. Wähle unter Dependabot rechts neben „GitHub Advisory Database regelmäßig herunterladen, damit Benutzer*innen Sicherheitsrisikowarnungen für Open-Source-Codeabhängigkeiten erhalten“ das Dropdownmenü aus, und klicke auf Ohne Benachrichtigung aktiviert. Klicke optional zum Aktivieren von Warnungen mit Benachrichtigungen auf Aktiviert mit Benachrichtigungen.

Screenshot: Dropdownmenü „Aktivieren“ für Dependabot alerts mit den verfügbaren Optionen

Tipp: Es wird empfohlen, Dependabot alerts ohne Benachrichtigungen für die ersten Tage zu konfigurieren, um eine Überladung mit E-Mails zu vermeiden. Nach einigen Tagen kannst du Benachrichtigungen aktivieren, um Dependabot alerts wie gewohnt zu empfangen.

Du kannst jetzt Dependabot alerts für alle vorhandenen oder neuen privaten und internen Repositorys auf der Unternehmenseinstellungsseite für „Codesicherheit und -analyse“ aktivieren. Alternativ können Repositoryadministratorinnen und Organisationsbesitzerinnen Dependabot alerts für jedes Repository und jede Organisation aktivieren. Öffentliche Repositorys sind immer standardmäßig aktiviert. Weitere Informationen findest du unter Konfigurieren von Dependabot-Warnungen.

Aktivieren von Dependabot updates

Nach dem Aktivieren von Dependabot alerts für dein Unternehmen kannst du Dependabot updates aktivieren.

Bevor du Dependabot updates aktivierst, musst du Ihre GitHub Enterprise Server-Instance konfigurieren, um GitHub Actions mit selbstgehosteten Runnern zu verwenden. Weitere Informationen findest du unter Erste Schritte mit GitHub Actions für GitHub Enterprise Server.

Dependabot updates werden in GitHub Enterprise Server nicht unterstützt, wenn dein Unternehmen Clustering verwendet.

Hinweis: Nachdem du das Abhängigkeitsdiagramm aktiviert hast, kannst du die Dependabot-Aktion verwenden. Die Aktion löst einen Fehler aus, wenn Sicherheitsrisiken oder ungültige Lizenzen eingeführt werden. Weitere Informationen zur Aktion und Anweisungen zum Herunterladen der aktuellen Version findest du unter Verwenden der neuesten Version der offiziellen gebündelten Aktionen.

  1. Melde dich unter http(s)://HOSTNAME/login bei Ihre GitHub Enterprise Server-Instance an.

  2. Klicke in einem Verwaltungskonto auf GitHub Enterprise Server und dann in der rechten oberen Ecke einer beliebigen Seite auf „“.

  3. Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator.

  4. Wähle auf der Randleiste „ Websiteadministrator“ die Option Verwaltungskonsole aus.

  5. Klicke auf der Randleiste unter „Einstellungen“ auf Sicherheit.

  6. Wähle unter „Sicherheit“ Dependabot security updates aus.

  7. Klicke auf der Randleiste unter „Einstellungen“ auf Einstellungen speichern.

    Hinweis: Durch das Speichern von Einstellungen in der Verwaltungskonsole werden Systemdienste neu gestartet, was zu einer für den Benutzer feststellbaren Downtime führen könnte.

  8. Warten Sie auf den Abschluss der Konfigurationsausführung.

  9. Klicke auf Instanz aufrufen.

  10. Konfiguriere dedizierte, selbstgehostete Runner, um die Pull Requests zu erstellen, mit denen die Abhängigkeiten aktualisiert werden. Dies ist erforderlich, da die Workflows eine bestimmte Runnerbezeichnung verwenden. Weitere Informationen findest du unter Verwalten von selbstgehosteten Runnern für Dependabot-Updates für dein Unternehmen.

  11. Klicken Sie in der oberen rechten Ecke von GitHub Enterprise Server auf Ihr Profilfoto und dann auf Unternehmenseinstellungen.

    Screenshot des Dropdownmenüs, das angezeigt wird, wenn du auf GitHub Enterprise Server auf das Profilfoto klickst. Die Option „Unternehmenseinstellungen “ ist dunkelorange umrandet.

  12. Wähle auf der Randleiste des Unternehmenskontos die Option GitHub Connect aus.

  13. Klicke unter Dependabot rechts von „Benutzer können einfach auf Open Source Codeabhängigkeiten ohne Sicherheitsrisiken aktualisieren“ auf Aktivieren.

Wenn du Dependabot alerts aktivierst, denke auch über die Einrichtung von GitHub Actions für Dependabot security updates nach. Dieses Feature ermöglicht Entwicklern, Sicherheitsrisiken in ihren Abhängigkeiten zu beheben. Weitere Informationen findest du unter Verwalten von selbstgehosteten Runnern für Dependabot-Updates für dein Unternehmen.

Wenn du erweiterte Sicherheit benötigst, wird empfohlen, Dependabot zu konfigurieren, um private Registrierungen zu verwenden. Weitere Informationen findest du unter Konfigurieren des Zugriffs auf private Registrierungen für Dependabot.