Hinweis
Dein Websiteadministrator muss Dependabot updates für Ihre GitHub Enterprise Server-Instance einrichten, damit du dieses Feature verwenden kannst. Weitere Informationen findest du unter Aktivieren von Dependabot für dein Unternehmen.
Möglicherweise kannst du Dependabot updates nicht aktivieren oder deaktivieren, wenn ein Unternehmensbesitzer eine Richtlinie auf Unternehmensebene festgelegt hat. Weitere Informationen finden Sie unter Implementierung von Richtlinien zur Codesicherheit und -analyse für Ihr Unternehmen.
About Dependabot security updates
Dependabot security updates make it easier for you to fix vulnerable dependencies in your repository.
If you enable Dependabot security updates, when a Dependabot alert is raised for a vulnerable dependency in the dependency graph of your repository, Dependabot automatically tries to fix it. For more information, see Dependabot alerts and Configuring Dependabot security updates.
You can add a dependabot.yml configuration file to your repository to customize Dependabot behavior, including update schedules, pull request settings, and which dependencies to monitor. For more information, see Informationen zur dependabot.yml-Datei. You then configure options in this file to tell Dependabot how to secure the dependencies your repository relies on.
Weitere Informationen zu den unterstützten Repositorys und Ökosysteme findest du unter Von Dependabot unterstützte Ökosysteme und Repositorys.
Hinweis
There is no interaction between the settings specified in the dependabot.yml file and Dependabot security alerts, other than the fact that alerts will be closed when related pull requests generated by Dependabot for security updates are merged.
Dependabot signiert standardmäßig seine eigenen Commits, auch wenn die Commit-Signierung keine Voraussetzung für das Repository ist. Weitere Informationen zu überprüften Commits findest du unter Informationen zur Verifizierung einer Commit-Signatur.
Hinweis
Wenn Dependabot security updates für ein Repository aktiviert sind, versucht Dependabot automatisch, Pull Requests zu öffnen, um alle offenen Dependabot-Warnung mit einem verfügbaren Patch aufzulösen. Wenn Sie lieber anpassen möchten, für welche Warnungen Dependabot Pull Requests öffnen soll, sollten Sie Dependabot security updates deaktiviert lassen und eine Auto-Triage-Regel erstellen. Weitere Informationen finden Sie unter Customizing auto-triage rules to prioritize Dependabot alerts.
GitHub may send Dependabot alerts to repositories affected by a vulnerability disclosed by a recently published GitHub security advisory. Weitere Informationen finden Sie unter Browsing security advisories in the GitHub Advisory Database.
Dependabot checks whether it's possible to upgrade the vulnerable dependency to a fixed version without disrupting the dependency graph for the repository. Then Dependabot raises a pull request to update the dependency to the minimum version that includes the patch and links the pull request to the Dependabot alert, or reports an error on the alert. For more information, see Dependabot-Fehler.
The Dependabot security updates feature is available for repositories where you have enabled the dependency graph and Dependabot alerts. You will see a Dependabot alert for every vulnerable dependency identified in your full dependency graph. However, security updates are triggered only for dependencies that are specified in a manifest or lock file. For more information, see Dependency graph.
Hinweis
For npm, Dependabot will raise a pull request to update an explicitly defined dependency to a secure version, even if it means updating the parent dependency or dependencies, or even removing a sub-dependency that is no longer needed by the parent. For other ecosystems, Dependabot is unable to update an indirect or transitive dependency if it would also require an update to the parent dependency. For more information, see Dependabot-Fehler.
You can enable a related feature, Dependabot version updates, so that Dependabot raises pull requests to update the manifest to the latest version of the dependency, whenever it detects an outdated dependency. For more information, see Dependabot version updates.
Wenn Dependabot Pull Requests auslöst, können diese Pull Requests für Sicherheits- oder Versionsupdates gelten:
- Dependabot security updates sind automatisierte Pull Requests, mit denen Du Abhängigkeiten mit bekannten Sicherheitsrisiken aktualisieren kannst.
- Dependabot version updates sind automatisierte Pull Requests, mit denen Deine Abhängigkeiten auf dem aktuellen Stand gehalten werden, auch wenn sie keine Sicherheitsrisiken aufweisen. Um den Status von Versionsupdates zu überprüfen, navigiere zur Registerkarte Insights deines Repositorys, wähle dann das Abhängigkeitsdiagramm und anschließend Dependabot aus.
If you enable Dependabot security updates, parts of the configuration may also affect pull requests created for Dependabot version updates. This is because some configuration settings are common to both types of updates. For more information, see Anpassen von Pull Requests für Dependabot-Sicherheitsupdates.
Bevor du Dependabot updates aktivierst, musst du Ihre GitHub Enterprise Server-Instance konfigurieren, um GitHub Actions mit selbstgehosteten Runnern zu verwenden. GitHub Actions wird zum Ausführen von Dependabot version updates und Dependabot security updates in GitHub benötigt. Weitere Informationen findest du unter Aktivieren von Dependabot für dein Unternehmen.
Dependabot security updates kann anfällige Abhängigkeiten in GitHub Actions beheben. Wenn Sicherheitsupdates aktiviert sind, löst Dependabot automatisch einen Pull Request aus, um anfällige GitHub Actions in Workflows auf die gepatchte Mindestversion zu aktualisieren.
About grouped security updates
To further reduce the number of pull requests you may be seeing, you can enable grouped security updates to group sets of dependencies together (per package ecosystem). Dependabot then raises a single pull request to update as many vulnerable dependencies as possible in the group to secure versions at the same time.
For security updates, Dependabot will only group dependencies from different directories per ecosystem under certain conditions and configurations. Dependabot will not group dependencies from different package ecosystems together, and it will not group security updates with version updates.
Sie können gruppierte Pullanforderungen auf Dependabot security updates auf eine oder beide der folgenden Arten aktivieren.
- Wenn Sie so viele verfügbare Sicherheitsupdates wie möglich gruppieren möchten, über Verzeichnisse und ökosystemübergreifend, aktivieren Sie die Gruppierung in den Einstellungen "Code security and analysis" für Ihr Repository oder unter "Globale Einstellungen" Code security and analysis für Ihre Organisation.
- Um die Gruppierung genauer zu steuern, z. B. das Gruppieren nach Paketname, Entwicklungs-/Produktionsabhängigkeiten, SemVer-Ebene oder in mehreren Verzeichnissen pro Ökosystem, füge der
dependabot.yml-Konfigurationsdatei in deinem Repository Konfigurationsoptionen hinzu.
Hinweis
Wenn du Gruppenregeln für Dependabot security updates in einer dependabot.yml-Datei konfiguriert hast, werden alle verfügbaren Updates nach den von dir angegebenen Regeln gruppiert. Dependabot werden nur über jene Verzeichnisse hinweg gruppiert, die nicht in Ihrem dependabot.yml konfiguriert sind, wenn die Einstellung für gruppierte Sicherheitsupdates auf Organisations- oder Repositoryebene ebenfalls aktiviert ist.
For more information, see Configuring Dependabot security updates.
About automatic deactivation of Dependabot updates
Wenn die Maintainer eines Repositorys nicht mehr mit Pull Requests von Dependabot interagieren, hält Dependabot die Updates vorübergehend an und informiert dich. Weitere Informationen findest du unter Pull-Requests werden von Dependabot nicht mehr aktualisiert.
About notifications for Dependabot security updates
You can filter your notifications on GitHub to show Dependabot security updates. For more information, see Benachrichtigungen über deinen Posteingang verwalten.