Auf der Dependabot alerts-Registerkarte deines Repositorys werden alle offenen und geschlossenen Dependabot alerts angezeigt. Du kannst die Warnungen nach Paket, Ökosystem oder Manifest filtern. Du kannst die Warnungsliste sortieren, und du kannst auf bestimmte Warnungen klicken, um weitere Details anzuzeigen. Du kannst Warnungen auch verwerfen oder erneut öffnen. Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen.
Du kannst Dependabot alerts mithilfe einer Vielzahl von Filtern und Sortieroptionen filtern und sortieren, die auf der Benutzeroberfläche verfügbar sind. Weitere Informationen findest du im Folgenden unter Priorisieren von Dependabot alerts.
Du kannst auch Aktionen überwachen, die als Reaktion auf Dependabot-Warnungen ausgeführt wurden. Weitere Informationen findest du unter Prüfen von Sicherheitswarnungen.
Priorisieren von Dependabot alerts
GitHub unterstützt dich dabei, die Korrektur von Dependabot alerts zu priorisieren.
Du kannst Dependabot alerts sortieren und filtern, indem du Filter als key:value-Paare in die Suchleiste eingibst.
| Option | BESCHREIBUNG | Beispiel |
|---|---|---|
ecosystem | Zeigt Warnungen für das ausgewählte Ökosystem an. | Verwende ecosystem:npm zum Anzeigen von Dependabot alerts für npm. |
has | Zeigt Warnungen an, die den ausgewählten Filterkriterien entsprechen. | Verwende has:patch, um Warnungen im Zusammenhang mit Empfehlungen anzuzeigen, die einen Patch betreffen. |
is | Zeigt Warnungen basierend auf ihrem Status an. | Verwende is:open, um offene Warnungen anzuzeigen. |
manifest | Zeigt Warnungen für das ausgewählte Manifest an. | Verwende manifest:webwolf/pom.xml, um Warnungen für die Datei „pom.xml“ der Webwolf-Anwendung anzuzeigen. |
package | Zeigt Warnungen für das ausgewählte Paket an. | Verwende package:django, um Warnungen für Django anzuzeigen. |
resolution | Zeigt Warnungen mit dem ausgewählten Auflösungsstatus an. | Verwende resolution:no-bandwidth zum Anzeigen von Warnungen, die ausgesetzt wurden, weil zur Behebung keine Zeit oder keine Ressourcen verfügbar sind. |
repo | Zeigt Warnungen basierend auf dem Repository an, auf das sie sich beziehen. Beachte, dass dieser Filter nur für die Sicherheitsübersicht verfügbar ist. Weitere Informationen findest du unter Informationen zur Sicherheitsübersicht. | Verwende repo:octocat-repo, um Warnungen im Repository namens octocat-repo anzuzeigen. |
severity | Zeigt Warnungen basierend auf ihrem Schweregrad an. | Verwende severity:high, um Warnungen mit dem Schweregrad „Hoch“ anzuzeigen. |
Zusätzlich zu den über die Suchleiste verfügbaren Filtern kannst du Dependabot alerts mithilfe der Dropdownmenüs oben in der Warnungsliste sortieren und filtern.
Die Suchleiste ermöglicht auch die Volltextsuche für Warnungen und verwandte Sicherheitsempfehlungen. Du kannst nach einem Teil des Namens einer Sicherheitsempfehlung oder nach einer Beschreibung suchen, um die Warnungen in deinem Repository zurückzugeben, die sich auf diese Sicherheitsempfehlung beziehen. Beispielsweise gibt die Suche nach yaml.load() API could execute arbitrary code Dependabot alerts im Zusammenhang mit PyYAML insecurely deserializes YAML strings leading to arbitrary code execution (Die PyYAML-Deserialisierung von YAML-Zeichenfolgen ist unsicher und führt zu einer beliebigen Codeausführung) zurück, da die Suchzeichenfolge in der Beschreibung der Empfehlung vorkommt.
Anzeige von Dependabot alerts
- Navigiere auf dein Unternehmen zur Hauptseite des Repositorys. 1. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.
- Optional kannst du zum Filtern von Warnungen einen Filter in einem Dropdownmenü auswählen und dann auf den Filter klicken, den du anwenden möchtest. Du kannst Filter auch in die Suchleiste eingeben. Weitere Informationen zum Filtern und Sortieren von Warnungen findest du unter Priorisieren von Dependabot alerts.
- Klicke auf die Warnung, die du anzeigen möchtest.
Überprüfen und Beheben von Warnungen
Es ist wichtig, sicherzustellen, dass keine deiner Abhängigkeiten Sicherheitslücken aufweist. Wenn Dependabot Sicherheitsrisiken in deinen Abhängigkeiten erkennt, solltest du den Grad der Gefährdung deines Projekts einschätzen und festlegen, welche Maßnahmen zur Entschärfung du ergreifen musst, um deine Anwendung abzusichern.
In Fällen, in denen keine gepatchte Version verfügbar ist oder du nicht auf die sichere Version aktualisieren kannst, stellt Dependabot zusätzliche Informationen zur Verfügung, damit du die nächsten Schritte festlegen kannst. Wenn du auf eine Dependabot-Warnung klickst, kannst du die vollständigen Details zur Sicherheitsempfehlung für die Abhängigkeit einschließlich der betroffenen Funktionen anzeigen. Du kannst dann überprüfen, ob dein Code die betroffenen Funktionen aufruft. Diese Informationen können dir helfen, den Gefährdungsgrad einzuschätzen und zu entscheiden, ob du das Risiko, das der Sicherheitshinweis angibt, in Kauf nehmen kannst oder nicht.
Beheben von anfälligen Abhängigkeiten
-
Sieh dir die Details zu einer Warnung an. Weitere Informationen findest du unter Anzeigen von Dependabot alerts weiter oben.
-
Du kannst anhand der Informationen auf der Seite entscheiden, auf welche Version der Abhängigkeit du ein Upgrade durchführen möchtest und einen Pull Request für das Manifest oder die Sperrdatei zur Aktualisierung auf eine sichere Version erstellen.
-
Wenn du zum Aktualisieren deiner Abhängigkeit und zum Beheben deiner Schwachstelle bereit bist, führe den Merge für den Pull Request durch.
Schließen von Dependabot alerts
Tipp: Du kannst nur offene Warnungen verwerfen.
Wenn du umfangreiche Arbeiten zum Upgrade einer Abhängigkeit planst oder entscheidest, dass für eine Warnung keine Maßnahmen ergriffen werden müssen, kannst du die Warnung schließen. Durch das Schließen von bereits bewerteten Warnungen kannst du neue Warnungen leichter einordnen, sobald sie auftreten.
-
Sieh dir die Details zu einer Warnung an. Weitere Informationen findest du unter Anzeigen von anfälligen Abhängigkeiten (oben).
-
Wähle das Dropdownmenü „Schließen“ aus, und klicke auf einen Grund für das Schließen der Warnung. Nicht behobene geschlossene Warnungen können später erneut geöffnet werden.
Anzeigen und Aktualisieren von geschlossenen Warnungen
Du kannst alle geöffneten Warnungen anzeigen und Warnungen erneut öffnen, die zuvor geschlossen wurden. Geschlossene Warnungen, die bereits behoben wurden, können nicht erneut geöffnet werden.
-
Navigiere auf dein Unternehmen zur Hauptseite des Repositorys. 1. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.
-
Klicke auf Geschlossen, um geschlossene Warnungen anzuzeigen.
-
Klicke auf die Warnung, die du anzeigen oder aktualisieren möchtest.
-
Alternativ kannst du auf Erneut öffnen klicken, wenn die Datei geschlossen wurde und du sie wieder öffnen möchtest. Warnungen, die bereits behoben wurden, können nicht erneut geöffnet werden.
Überprüfen der Überwachungsprotokolle für Dependabot alerts
Wenn ein Mitglied deiner Organisation oder deines Unternehmens eine Aktion im Zusammenhang mit Dependabot alerts ausführt, kannst du die Aktionen im Überwachungsprotokoll überprüfen. Weitere Informationen zum Zugriff auf das Protokoll findest du unter Auditprotokoll deiner Organisation überprüfen und Zugreifen auf das Überwachungsprotokoll für dein Unternehmen.
Ereignisse in deinem Überwachungsprotokoll für Dependabot alerts enthalten Details, z. B. wer die Aktion ausgeführt hat, was die Aktion war und wann die Aktion ausgeführt wurde. Informationen zu den Dependabot alerts-Aktionen findest du in der repository_vulnerability_alert-Kategorie unter Überwachungsprotokollereignisse für deine Organisation und Überwachungsprotokollereignisse für dein Unternehmen.