Dependabot-Sicherheitsupdates

Dependabot kann verwundbare Abhängigkeiten für Sie beheben, indem Pull Requests mit Sicherheitsupdates erstellt werden.

Wer kann dieses Feature verwenden?

Dependabot security updates ist für die folgenden Repositorys verfügbar:

  • Alle Repositorys auf GitHub

In diesem Artikel

Informationen zum Dependabot security updates

Dependabot security updates Machen Sie es einfacher, anfällige Abhängigkeiten in Ihrem Repository zu beheben.

Wenn Sie Dependabot security updates aktivieren, versucht Dependabot automatisch, eine Dependabot-Warnung für eine verwundbare Abhängigkeit im Abhängigkeitsdiagramm Ihres Repositorys zu beheben. Weitere Informationen findest du unter Dependabot alerts und Konfigurieren von Dependabot-Sicherheitsupdates.

Sie können Ihrem Repository eine dependabot.yml Konfigurationsdatei hinzufügen, um das Verhalten anzupassen Dependabot , einschließlich Aktualisierungszeitpläne, Pullanforderungseinstellungen und welche Abhängigkeiten überwacht werden sollen. Weitere Informationen findest du unter Informationen zur dependabot.yml-Datei. Anschließend konfigurieren Sie Optionen in dieser Datei, um zu erfahren Dependabot , wie die Abhängigkeiten, auf die Ihr Repository angewiesen ist, gesichert werden.

Weitere Informationen zu den unterstützten Repositorys und Ökosysteme findest du unter Von Dependabot unterstützte Ökosysteme und Repositorys.

Hinweis

Es gibt keine Interaktion zwischen den in der dependabot.yml Datei angegebenen Einstellungen und Dependabot Sicherheitswarnungen, außer der Tatsache, dass Warnungen geschlossen werden, wenn verwandte Pullanforderungen, die für Dependabot Sicherheitsupdates generiert werden, zusammengeführt werden.

Dependabot signiert standardmäßig seine eigenen Commits, auch wenn die Commit-Signierung keine Voraussetzung für das Repository ist. Weitere Informationen zu überprüften Commits findest du unter Informationen zur Verifizierung einer Commit-Signatur.

Hinweis

Wenn Dependabot security updates für ein Repository aktiviert sind, versucht Dependabot automatisch, Pull Requests zu öffnen, um alle offenen Dependabot-Warnung mit einem verfügbaren Patch aufzulösen. Wenn Sie lieber anpassen möchten, für welche Warnungen Dependabot Pull Requests öffnen soll, sollten Sie Dependabot security updates deaktiviert lassen und eine Auto-Triage-Regel erstellen. Weitere Informationen finden Sie unter Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen.

GitHub kann an Repositories Dependabot alerts gesendet werden, die von einer Sicherheitslücke betroffen sind, die in einem kürzlich veröffentlichten GitHub Sicherheitshinweis offengelegt wurde. Weitere Informationen finden Sie unter Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database.

Dependabot überprüft, ob es möglich ist, die anfällige Abhängigkeit auf eine feste Version zu aktualisieren, ohne das Abhängigkeitsdiagramm für das Repository zu unterbrechen. Dann erstellt Dependabot einen Pull Request, um die Abhängigkeit auf die Mindestversion zu aktualisieren, die den Patch enthält, und verknüpft den Pull Request mit der Dependabot-Warnung oder meldet in der Warnung einen Fehler. Weitere Informationen findest du unter Dependabot-Fehler.

Die Dependabot security updates Funktion ist für Repositorys verfügbar, für die Sie das Abhängigkeitsdiagramm und Dependabot alerts aktiviert haben. Sie sehen eine Dependabot Warnung für jede anfällige Abhängigkeit, die in Ihrem vollständigen Abhängigkeitsdiagramm identifiziert wurde. Sicherheitsupdates werden jedoch nur für Abhängigkeiten ausgelöst, die in einer Manifest- oder Sperrdatei angegeben sind. Weitere Informationen findest du unter Abhängigkeitsdiagramm.

Hinweis

Bei npm löst eine Pullanforderung aus, um eine explizit definierte Abhängigkeit auf eine sichere Version zu aktualisieren, auch wenn dies bedeutet, Dependabot dass die übergeordnete Abhängigkeit oder Abhängigkeiten aktualisiert oder sogar eine Unterabhängigkeit entfernt wird, die vom übergeordneten Element nicht mehr benötigt wird. Bei anderen Ökosystemen kann Dependabot eine indirekte oder transitive Abhängigkeit nicht aktualisieren, wenn dies auch eine Aktualisierung der übergeordneten Abhängigkeit erfordern würde. Weitere Informationen findest du unter Dependabot-Fehler.

Sie können eine verwandte Funktion aktivieren, Dependabot version updates, sodass Dependabot Pull Requests erstellt, um das Manifest auf die neueste Version der Abhängigkeit zu aktualisieren, wenn eine veraltete Abhängigkeit erkannt wird. Weitere Informationen findest du unter Dependabot-Versionsaktualisierungen.

Wenn Dependabot Pull Requests auslöst, können diese Pull Requests für Sicherheits- oder Versionsupdates gelten:

  • Dependabot security updates sind automatisierte Pull Requests, mit denen Du Abhängigkeiten mit bekannten Sicherheitsrisiken aktualisieren kannst.
  • Dependabot version updates sind automatisierte Pull Requests, mit denen Deine Abhängigkeiten auf dem aktuellen Stand gehalten werden, auch wenn sie keine Sicherheitsrisiken aufweisen. Um den Status von Versionsupdates zu überprüfen, navigiere zur Registerkarte Insights deines Repositorys, wähle dann das Abhängigkeitsdiagramm und anschließend Dependabot aus.

Wenn Sie Dependabot security updates aktivieren, können sich Teile der Konfiguration auch auf Pull Requests auswirken, die für Dependabot version updates erstellt wurden. Dies liegt daran, dass einige Konfigurationseinstellungen für beide Arten von Updates gelten. Weitere Informationen findest du unter Anpassen von Pull Requests für Dependabot-Sicherheitsupdates.

Pull Requests, die von Dependabot geöffnet werden, können Workflows zum Ausführen von Aktionen auslösen. Weitere Informationen findest du unter Automatisieren von Dependabot mit GitHub Actions.

Dependabot security updates kann anfällige Abhängigkeiten in GitHub Actions beheben. Wenn Sicherheitsupdates aktiviert sind, löst Dependabot automatisch einen Pull Request aus, um anfällige GitHub Actions in Workflows auf die gepatchte Mindestversion zu aktualisieren.

Informationen zu gruppierten Sicherheitsupdates

Um die Anzahl von Pull Requests weiter zu verringern, können Sie gruppierte Sicherheitsupdates so aktivieren, dass sie Abhängigkeiten (pro Paketökosystem) in Gruppen zusammenfassen. Dependabot löst dann eine einzelne Pullanforderung aus, um so viele anfällige Abhängigkeiten wie möglich in der Gruppe zu aktualisieren, um Versionen gleichzeitig zu sichern.

Für Sicherheitsupdates gruppiert Dependabot Abhängigkeiten aus verschiedenen Verzeichnissen je Ökosystem nur unter bestimmten Bedingungen und Konfigurationen. Dependabot führt keine Abhängigkeiten aus verschiedenen Paket-Ökosystemen zusammen, und es führt keine Sicherheitsupdates mit Versionsupdates zusammen.

Sie können gruppierte Pullanforderungen auf Dependabot security updates auf eine oder beide der folgenden Arten aktivieren.

  • Wenn Sie so viele verfügbare Sicherheitsupdates wie möglich gruppieren möchten, über Verzeichnisse und ökosystemübergreifend, aktivieren Sie die Gruppierung in den Einstellungen "Advanced Security" für Ihr Repository oder unter "Globale Einstellungen" Advanced Security für Ihre Organisation.
  • Um die Gruppierung genauer zu steuern, z. B. das Gruppieren nach Paketname, Entwicklungs-/Produktionsabhängigkeiten, SemVer-Ebene oder in mehreren Verzeichnissen pro Ökosystem, füge der dependabot.yml-Konfigurationsdatei in deinem Repository Konfigurationsoptionen hinzu.

Hinweis

Wenn du Gruppenregeln für Dependabot security updates in einer dependabot.yml-Datei konfiguriert hast, werden alle verfügbaren Updates nach den von dir angegebenen Regeln gruppiert. Dependabot werden nur über jene Verzeichnisse hinweg gruppiert, die nicht in Ihrem dependabot.yml konfiguriert sind, wenn die Einstellung für gruppierte Sicherheitsupdates auf Organisations- oder Repositoryebene ebenfalls aktiviert ist.

Weitere Informationen findest du unter Konfigurieren von Dependabot-Sicherheitsupdates.

Informationen zu Kompatibilitätsbewertungen

Dependabot security updates kann Kompatibilitätsbewertungen enthalten, um Sie darüber zu informieren, ob das Aktualisieren einer Abhängigkeit zu fehlerhaften Änderungen an Ihrem Projekt führen könnte. Diese werden anhand von CI-Tests in anderen öffentlichen Repositorys berechnet, in denen dasselbe Sicherheitsupdate generiert wurde. Die Kompatibilitätsbewertung des Updates ist der Prozentwert der CI-Ausführungen, die beim Aktualisieren zwischen bestimmten Versionen der Abhängigkeit erfolgt sind.

Informationen zur automatischen Deaktivierung von Dependabot updates

Wenn die Maintainer eines Repositorys nicht mehr mit Pull Requests von Dependabot interagieren, hält Dependabot die Updates vorübergehend an und informiert dich. Weitere Informationen findest du unter Pull-Requests werden von Dependabot nicht mehr aktualisiert.

Informationen zu Benachrichtigungen für Dependabot Sicherheitsupdates

Sie können Ihre Benachrichtigungen auf GitHub filtern, sodass Dependabot Sicherheitsupdates angezeigt werden. Weitere Informationen findest du unter Benachrichtigungen über deinen Posteingang verwalten.