Skip to main content

Informationen zu Dependabot-Warnungen

GitHub AE versendet Dependabot alerts, wenn erkannt wird, dass dein Repository eine anfällige Abhängigkeit.

Dependabot alerts sind kostenlos für Repositorys (im Benutzer- oder Organisationsbesitz) auf GitHub AE.

Informationen zu Dependabot alerts

Durch Dependabot alerts erfährst du, dass dein Code von einem unsicheren Paket abhängt.

Wenn dein Code von einem Paket mit einem Sicherheitsrisiko abhängt, kann dies eine Reihe von Problemen für dein Projekt oder die Personen verursachen, die es verwenden. Du solltest so schnell wie möglich auf eine sichere Version des Pakets upgraden.

Weitere Informationen findest du unter Durchsuchen von Sicherheitsempfehlungen in GitHub Advisory Database.

Erkennen unsicherer Abhängigkeiten

Hinweis: Dependabot alerts ist derzeit in Beta verfügbar und kann sich noch ändern.

Dependabot führt eine Überprüfung zum Erkennen von unsicheren Abhängigkeiten durch und sendet Dependabot alerts, wenn:

  • Neue Empfehlungsdaten werden stündlich zwischen GitHub.com und your enterprise synchronisiert. Weitere Informationen findest du unter Durchsuchen von Sicherheitsempfehlungen in GitHub Advisory Database.

    Hinweis: Nur Empfehlungen, die von GitHub überprüft wurden, lösen Dependabot alerts aus.

  • Das Abhängigkeitsdiagramm für ein Repository wird geändert. Wenn ein Mitwirkender beispielsweise einen Commit veröffentlicht, um die Pakete oder Versionen zu ändern, von denen er abhängt. Weitere Informationen findest du unter Informationen zum Abhängigkeitsdiagramm.

Darüber hinaus kann GitHub jegliche Abhängigkeiten, die in einem Pull Request dem Standardbranch eines Repositorys hinzugefügt, darin aktualisiert oder daraus entfernt werden, überprüfen und alle Änderungen markieren, die die Sicherheit deines Projekts beeinträchtigen könnten. So kannst du gefährliche Abhängigkeiten erkennen und behandeln, bevor sie deine Codebasis erreichen, und nicht erst danach. Weitere Informationen findest du unter Überprüfen von Abhängigkeitsänderungen in einem Pull Request.

Eine Liste der Ökosysteme, in denen GitHub AE unsichere Abhängigkeiten erkennen kann, findest du unter Ökosysteme unterstützter Pakete.

Hinweis: Du musst dein Manifest und deine Sperrdateien auf dem neuesten Stand halten. Wenn das Abhängigkeitsdiagramm deine aktuellen Abhängigkeiten und Versionen nicht genau widerspiegelt, kannst du Warnungen zu unsicheren Abhängigkeiten verpassen, die du verwendest. Möglicherweise erhältst du auch Warnungen für Abhängigkeiten, die du nicht mehr verwendest.

Konfigurieren von Dependabot alerts

Unternehmensbesitzer müssen Dependabot alerts für your enterprise aktivieren, bevor du dieses Feature nutzen kannst. Weitere Informationen findest du unter Aktivieren von Dependabot für dein Unternehmen.

Wenn GitHub AE eine Abhängigkeit mit Sicherheitsrisiken, wird eine Dependabot-Warnung generiert und im Abhängigkeitsdiagramm des Repositorys angezeigt. Die Warnung enthält Informationen zu einer Version, bei der das Problem behoben wurde. GitHub AE kann auch die Verwalter betroffener Repositorys über die neue Warnung gemäß ihren Benachrichtigungseinstellungen benachrichtigen. Weitere Informationen findest du unter Konfigurieren von Benachrichtigungen für Dependabot alerts.

Hinweis: Die Sicherheitsfeatures von GitHub AE können nicht garantieren, dass alle Sicherheitsrisiken. Die GitHub Advisory Database wird aktiv verwaltet, und Warnungen werden mithilfe der aktuellsten Informationen generiert. Allerdings kann nicht alles erkannt sowie kein Zeitrahmen zur Benachrichtigung über bekannte Sicherheitsrisiken garantiert werden. Diese Features können das Überprüfen der einzelnen Abhängigkeiten auf potenzielle Sicherheitsrisiken oder andere Probleme durch Menschen nicht ersetzen. Es wird empfohlen, sich bei Bedarf mit einem Sicherheitsdienst in Verbindung zu setzen oder eine gründliche Überprüfung der Abhängigkeiten durchzuführen.

Zugriff auf Dependabot alerts

Du kannst alle Warnungen, die sich auf ein bestimmtes Projekt im Abhängigkeitsdiagramm des Repositorys sehen. Weitere Informationen findest du unter Anzeigen und Aktualisieren von Dependabot alerts.

Personen mit Administratorberechtigungen in den betroffenen Repositorys werden standardmäßig über neue Dependabot alerts benachrichtigt.

Du kannst die Übermittlungsmethode für Benachrichtigungen sowie die Häufigkeit auswählen, in der die Benachrichtigungen an dich gesendet werden. Weitere Informationen findest du unter Konfigurieren von Benachrichtigungen für Dependabot alerts.

Du kannst auch alle Dependabot alerts anzeigen, die einer bestimmten Empfehlung in der GitHub Advisory Database entsprechen. Weitere Informationen findest du unter Durchsuchen von Sicherheitsempfehlungen in GitHub Advisory Database.