Informationen zu Dependabot-Warnungen

          Dependabot alerts Helfen Sie beim Auffinden und Beheben anfälliger Abhängigkeiten, bevor sie zu Sicherheitsrisiken werden.

Wer kann dieses Feature verwenden?

Dependabot alerts sind für unternehmenseigene und benutzereigene Repositorien verfügbar.

In diesem Artikel

Software basiert häufig auf Paketen aus verschiedenen Quellen und erstellt Abhängigkeitsbeziehungen, die unwissentlich Sicherheitsrisiken einführen können. Wenn Ihr Code von Paketen mit bekannten Sicherheitsrisiken abhängt, werden Sie ein Ziel für Angreifer, die Ihr System ausnutzen möchten – potenziell Zugriff auf Ihren Code, Ihre Daten, Kunden oder Mitwirkenden. Dependabot alerts Benachrichtigen Sie über anfällige Abhängigkeiten, damit Sie ein Upgrade auf sichere Versionen durchführen und Ihr Projekt schützen können.

Beim Dependabot Senden von Benachrichtigungen

          Dependabot überprüft die Standardverzweigung Ihres Repositorys und sendet Benachrichtigungen, wenn:
  • Ein neue Schwachstelle wird hinzugefügt. GitHub Advisory Database
  • Ihr Abhängigkeitsdiagramm ändert sich – z. B. wenn Sie Commits übertragen, die Pakete oder Versionen aktualisieren

Unterstützte Ökosysteme finden Sie unter Von Abhängigkeitsdiagrammen unterstützte Paket-Ökosysteme.

Grundlegendes zu Warnungen

Wenn GitHub eine anfällige Abhängigkeit erkannt wird, wird eine Dependabot Warnung auf der Registerkarte und dem Abhängigkeitsdiagramm des Repositorys Security and quality angezeigt. Jede Warnung enthält Folgendes:

  • Ein Link zur betroffenen Datei
  • Details zur Sicherheitsanfälligkeit und zum Schweregrad
  • Informationen zu einer festen Version (sofern verfügbar)

Informationen zum Anzeigen und Verwalten von Warnungen finden Sie unter Anzeigen und Aktualisieren von Dependabot-Warnungen.

Wer kann Warnungen aktivieren?

Administratoren von Repositorys und Organisationsbesitzer können Dependabot alerts für ihre Repositorys und für ihre Organisationen aktivieren. Wenn diese Option aktiviert ist, GitHub wird sofort das Abhängigkeitsdiagramm generiert und Warnungen für alle von ihr identifizierten anfälligen Abhängigkeiten erstellt. Repositoryadministratoren können Zugriff auf weitere Personen oder Teams gewähren.

Weitere Informationen findest du unter Konfigurieren von Dependabot-Warnungen.

Benachrichtigungsbesitz und Zuordnungen

Benutzer mit Schreibzugriff oder höher können Repository-Kollaborateuren, Teams oder KI-Agenten für die Behebung von Schwachstellen Dependabot alerts zuweisen. Mithilfe von Aufgaben können Sie nachverfolgen, wer für jede Warnung verantwortlich ist, und verhindern, dass Sicherheitsrisiken übersehen werden.

Sie können den folgenden Agents Warnungen zuweisen:

          Copilot
          **, der integrierte KI-Agent von GitHub.
  • Drittanbieter-Agents, z. B. Codex oder Claude, wenn sie in Ihren Repositoryeinstellungen aktiviert sind.

Wenn einer Person oder einem Team eine Benachrichtigung zugewiesen wird, empfängt der Beauftragte eine Benachrichtigung, und die Warnung zeigt ihren Namen in der Warnungsliste an. Sie können Warnungen nach Zugewiesenen filtern, um den Fortschritt zu verfolgen.

Wenn einem Agent eine Warnung zugewiesen wird, erstellt der Agent automatisch eine Sitzung und öffnet eine Entwurfs-Pull-Anforderung mit einem vorgeschlagenen Fix. Wenn der Agent keinen Fix generieren kann, verbleibt er als Zugewiesener, und Sie können zur Überprüfung des Protokolls des Agenten auf der Benachrichtigungszeitachse auf Sitzung anzeigen.

Hinweis

Die Sichtbarkeit der Zuordnung ist derzeit auf die Warnungsansicht auf Repositoryebene ausgerichtet. Die organisationsweite Sicherheitsübersicht zeigt keine Warnungszuweisungen an.

Wenn sich die Zugewiesenen einer Warnung ändern, sendet GitHub ein assignees_changed Webhook-Ereignis. Sie können dieses Ereignis verwenden, um Workflows auszulösen oder Zuordnungsdaten mit externen Systemen zu synchronisieren. Weitere Informationen finden Sie unter Webhook-Ereignisse und Webhook-Nutzlasten.

Automatisierung und Integrationen

Sie können Warnungszuweisungen programmgesteuert mithilfe der REST-API verwalten. Weitere Informationen finden Sie unter REST-API-Endpunkte für Dependabot alerts.

Informationen zum Zuweisen von Warnungen finden Sie unter Anzeigen und Aktualisieren von Dependabot-Warnungen.

Funktionsweise von Warnungsbenachrichtigungen

          GitHub sendet standardmäßig E-Mail-Benachrichtigungen über neue Warnungen an Personen, die beide:
  • Sie verfügen über Schreib-, Wartungs- oder Administratorberechtigungen für ein Repository
  • Beobachten Sie das Repository und haben Sie Benachrichtigungen für Sicherheitswarnungen oder für alle Aktivitäten im Repository aktiviert?

Sie können das Standardverhalten außer Kraft setzen, indem Sie den Typ der Benachrichtigungen auswählen, die Sie empfangen möchten, oder Benachrichtigungen ganz auf der Einstellungsseite für Ihre Benutzerbenachrichtigungen deaktivieren.https://github.com/settings/notifications

Unabhängig von Ihren Benachrichtigungseinstellungen sendet Dependabot keine Benachrichtigungen für alle anfälligen, in Ihrem Repository gefundenen Abhängigkeiten, sobald GitHub erstmals aktiviert wird. Stattdessen erhalten Sie Benachrichtigungen für neue anfällige Abhängigkeiten, die nach Dependabot der Aktivierung identifiziert wurden, wenn Ihre Benachrichtigungseinstellungen dies zulassen.

Wenn Sie sich Sorgen machen, dass Sie zu viele Benachrichtigungen bekommen, empfehlen wir, Dependabot auto-triage rules zu nutzen, um Warnungen mit geringem Risiko automatisch zu verwerfen. Regeln werden vor dem Senden von Warnungsbenachrichtigungen angewendet. Es werden somit keine Benachrichtigung für Warnungen gesendet, die beim Erstellen automatisch geschlossen werden. Weitere Informationen findest du unter Über Auto-Triage-Regeln von Dependabot.

Alternativ können Sie sich für den wöchentlichen E-Mail-Digest entscheiden oder Benachrichtigungen sogar vollständig deaktivieren, während Dependabot alerts aktiviert bleibt.

Einschränkungen

          Dependabot alerts einige Einschränkungen aufweisen:

  • Warnungen können nicht jedes Sicherheitsproblem erfassen. Überprüfen Sie Ihre Abhängigkeiten immer und halten Sie Manifest- und Sperrdateien auf dem neuesten Stand, um eine genaue Erkennung zu gewährleisten.

  • Neue Sicherheitsrisiken können eine Weile brauchen, um in GitHub Advisory Database aufzutreten und Warnungen auszulösen.

  • Nur Empfehlungen, die von GitHub überprüft wurden, lösen Benachrichtigungen aus.

  • Dependabot überprüft archivierte Repositorys nicht.

  • Bei GitHub Actions werden Warnungen nur für Aktionen generiert, die die semantische Versionierung verwenden, nicht für SHA-Versionierung.

            GitHub Gibt niemals Sicherheitsrisiken für ein Repository öffentlich offen.

Weiterführende Lektüre