Informationen zu Dependabot-Warnungen

Dependabot alerts helfen Ihnen, anfällige Abhängigkeiten zu finden und zu beheben, bevor sie zu Sicherheitsrisiken werden.

Wer kann dieses Feature verwenden?

Dependabot alerts sind für unternehmenseigene und benutzereigene Repositorien verfügbar.

In diesem Artikel

Software basiert häufig auf Paketen aus verschiedenen Quellen und erstellt Abhängigkeitsbeziehungen, die unwissentlich Sicherheitsrisiken einführen können. Wenn Ihr Code von Paketen mit bekannten Sicherheitsrisiken abhängt, werden Sie ein Ziel für Angreifer, die Ihr System ausnutzen möchten – potenziell Zugriff auf Ihren Code, Ihre Daten, Kunden oder Mitwirkenden. Dependabot alerts benachrichtigen Sie über verwundbare Abhängigkeiten, damit Sie auf sichere Versionen aktualisieren und Ihr Projekt schützen können.

Wenn Dependabot Benachrichtigungen sendet

Dependabot scannt den Standard-Branch Ihres Repositorys und sendet Warnungen, wenn:

  • Eine neue Sicherheitsanfälligkeit wird zu der GitHub Advisory Database
  • Ihr Abhängigkeitsdiagramm ändert sich – z. B. wenn Sie Commits übertragen, die Pakete oder Versionen aktualisieren

Unterstützte Ökosysteme finden Sie unter Von Abhängigkeitsdiagrammen unterstützte Paket-Ökosysteme.

Grundlegendes zu Warnungen

Wenn GitHub eine anfällige Abhängigkeit erkennt, wird eine Dependabot Warnung auf der Registerkarte 'Sicherheit' und im Abhängigkeitsdiagramm des Repositorys angezeigt. Jede Warnung enthält Folgendes:

  • Ein Link zur betroffenen Datei
  • Details zur Sicherheitsanfälligkeit und zum Schweregrad
  • Informationen zu einer festen Version (sofern verfügbar)

Informationen zum Anzeigen und Verwalten von Warnungen finden Sie unter Anzeigen und Aktualisieren von Dependabot-Warnungen.

Aktivieren von Warnungen

Repository-Administratoren und Organisationsbesitzer können Dependabot alerts für ihre Repositories aktivieren und Organisationen. Wenn diese Option aktiviert ist, generiert GitHub sofort das Abhängigkeitsdiagramm und erstellt Warnungen für alle von ihr identifizierten anfälligen Abhängigkeiten. Repositoryadministratoren können Zugriff auf weitere Personen oder Teams gewähren.

Weitere Informationen findest du unter Konfigurieren von Dependabot-Warnungen.

Meldungen zu Alarmen

Standardmäßig sendet GitHub E-Mail-Benachrichtigungen zu neuen Warnungen an Personen, die beide:

  • Sie verfügen über Schreib-, Wartungs- oder Administratorberechtigungen für ein Repository
  • Beobachten Sie das Repository und haben Sie Benachrichtigungen für Sicherheitswarnungen oder für alle Aktivitäten im Repository aktiviert?

Sie können das Standardverhalten außer Kraft setzen, indem Sie den Typ der Benachrichtigungen auswählen, die Sie empfangen möchten, oder Benachrichtigungen ganz auf der Einstellungsseite für Ihre Benutzerbenachrichtigungen deaktivieren.https://github.com/settings/notifications

Unabhängig von deinen Benachrichtigungseinstellungen sendet GitHub beim ersten Aktivieren von Dependabot keine Benachrichtigungen für Abhängigkeiten mit Sicherheitsrisiken in deinem Repository. Stattdessen erhältst du Benachrichtigungen zu neuen Abhängigkeiten mit Sicherheitsrisiken, die nach der Aktivierung von Dependabot identifiziert wurden, sofern deine Benachrichtigungseinstellungen dies zulassen.

Wenn Sie besorgt sind, dass Sie zu viele Benachrichtigungen erhalten, empfehlen wir, Dependabot auto-triage rules zu nutzen, um Warnungen mit geringem Risiko automatisch zu verwerfen. Regeln werden vor dem Senden von Warnungsbenachrichtigungen angewendet. Es werden somit keine Benachrichtigung für Warnungen gesendet, die beim Erstellen automatisch geschlossen werden. Weitere Informationen findest du unter Über Auto-Triage-Regeln von Dependabot.

Alternativ kannst du den wöchentlichen E-Mail-Digest abonnieren oder Benachrichtigungen sogar vollständig deaktivieren, während Dependabot alerts aktiviert bleiben.

Einschränkungen

Dependabot alerts haben einige Einschränkungen:

  • Warnungen können nicht jedes Sicherheitsproblem erfassen. Überprüfen Sie Ihre Abhängigkeiten immer und halten Sie Manifest- und Sperrdateien auf dem neuesten Stand, um eine genaue Erkennung zu gewährleisten.
  • Neue Schwachstellen könnten Zeit benötigen, um in der GitHub Advisory Database zu erscheinen und Warnmeldungen auszulösen.
  • Nur Empfehlungen, die von GitHub überprüft wurden, lösen Warnungen aus.
  • Dependabot überprüft keine archivierten Repositorys.
  • Dependabot generiert keine Warnungen für Malware.
  • Für GitHub Actions werden Dependabot alerts nur für Aktionen generiert, die semantische Versionierung verwenden, nicht für SHA-Versionierung.

GitHub gibt niemals öffentlich Sicherheitsrisiken für ein Repository offen.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)

  •         [AUTOTITLE](/code-security/getting-started/auditing-security-alerts)