Informationen zu Dependabot-Warnungen

          Dependabot alerts Helfen Sie beim Auffinden und Beheben anfälliger Abhängigkeiten, bevor sie zu Sicherheitsrisiken werden.

Wer kann dieses Feature verwenden?

Dependabot alerts sind für unternehmenseigene und benutzereigene Repositorien verfügbar.

In diesem Artikel

Software basiert häufig auf Paketen aus verschiedenen Quellen und erstellt Abhängigkeitsbeziehungen, die unwissentlich Sicherheitsrisiken einführen können. Wenn Ihr Code von Paketen mit bekannten Sicherheitsrisiken abhängt, werden Sie ein Ziel für Angreifer, die Ihr System ausnutzen möchten – potenziell Zugriff auf Ihren Code, Ihre Daten, Kunden oder Mitwirkenden. Dependabot alerts Benachrichtigen Sie über anfällige Abhängigkeiten, damit Sie ein Upgrade auf sichere Versionen durchführen und Ihr Projekt schützen können.

Beim Dependabot Senden von Benachrichtigungen

          Dependabot überprüft die Standardverzweigung Ihres Repositorys und sendet Benachrichtigungen, wenn:
  • Ein neue Schwachstelle wird hinzugefügt. GitHub Advisory Database
  • Ihr Abhängigkeitsdiagramm ändert sich – z. B. wenn Sie Commits übertragen, die Pakete oder Versionen aktualisieren

Unterstützte Ökosysteme finden Sie unter Von Abhängigkeitsdiagrammen unterstützte Paket-Ökosysteme.

Grundlegendes zu Warnungen

Wenn GitHub eine anfällige Abhängigkeit erkannt wird, wird auf der Registerkarte "Dependabot" und im Abhängigkeitsdiagramm des Repositorys eine **** Warnung angezeigt. Jede Warnung enthält Folgendes:

  • Ein Link zur betroffenen Datei
  • Details zur Sicherheitsanfälligkeit und zum Schweregrad
  • Informationen zu einer festen Version (sofern verfügbar)

Informationen zum Anzeigen und Verwalten von Warnungen finden Sie unter Anzeigen und Aktualisieren von Dependabot-Warnungen.

Wer kann Warnungen aktivieren?

Administratoren von Repositorys und Organisationsbesitzer können Dependabot alerts für ihre Repositorys und für ihre Organisationen aktivieren. Wenn diese Option aktiviert ist, GitHub wird sofort das Abhängigkeitsdiagramm generiert und Warnungen für alle von ihr identifizierten anfälligen Abhängigkeiten erstellt. Repositoryadministratoren können Zugriff auf weitere Personen oder Teams gewähren.

Weitere Informationen findest du unter Konfigurieren von Dependabot-Warnungen.

Benachrichtigungsbesitz und Zuordnungen

Benutzer mit Schreibzugriff oder höher können Repository-Kollaborateuren, Teams oder Dependabot alerts Zuständigkeiten für die Behebung von Schwachstellen zuweisenCopilot. Mithilfe von Aufgaben können Sie nachverfolgen, wer für jede Warnung verantwortlich ist, und verhindern, dass Sicherheitsrisiken übersehen werden.

Wenn eine Warnung zugewiesen wird, empfängt der Beauftragte eine Benachrichtigung, und die Warnung zeigt ihren Namen in der Warnungsliste an. Sie können Warnungen nach Zugewiesenen filtern, um den Fortschritt zu verfolgen. Durch das Zuweisen einer Warnung an Copilot wird automatisch ein Fix generiert und ein Entwurfs-Pull-Request zur Überprüfung eröffnet.

Informationen zum Zuweisen von Warnungen finden Sie unter Anzeigen und Aktualisieren von Dependabot-Warnungen.

Funktionsweise von Warnungsbenachrichtigungen

          GitHub sendet standardmäßig E-Mail-Benachrichtigungen über neue Warnungen an Personen, die beide:
  • Sie verfügen über Schreib-, Wartungs- oder Administratorberechtigungen für ein Repository
  • Beobachten Sie das Repository und haben Sie Benachrichtigungen für Sicherheitswarnungen oder für alle Aktivitäten im Repository aktiviert?

Sie können das Standardverhalten außer Kraft setzen, indem Sie den Typ der Benachrichtigungen auswählen, die Sie empfangen möchten, oder Benachrichtigungen ganz auf der Einstellungsseite für Ihre Benutzerbenachrichtigungen deaktivieren.https://github.com/settings/notifications

Unabhängig von Ihren Benachrichtigungseinstellungen sendet GitHub keine Benachrichtigungen für alle anfälligen, in Ihrem Repository gefundenen Abhängigkeiten, sobald Dependabot erstmals aktiviert wird. Stattdessen erhalten Sie Benachrichtigungen für neue anfällige Abhängigkeiten, die nach Dependabot der Aktivierung identifiziert wurden, wenn Ihre Benachrichtigungseinstellungen dies zulassen.

Wenn Sie sich Sorgen machen, dass Sie zu viele Benachrichtigungen bekommen, empfehlen wir, Dependabot auto-triage rules zu nutzen, um Warnungen mit geringem Risiko automatisch zu verwerfen. Regeln werden vor dem Senden von Warnungsbenachrichtigungen angewendet. Es werden somit keine Benachrichtigung für Warnungen gesendet, die beim Erstellen automatisch geschlossen werden. Weitere Informationen findest du unter Über Auto-Triage-Regeln von Dependabot.

Alternativ können Sie sich für den wöchentlichen E-Mail-Digest entscheiden oder Benachrichtigungen sogar vollständig deaktivieren, während Dependabot alerts aktiviert bleibt.

Einschränkungen

          Dependabot alerts einige Einschränkungen aufweisen:

  • Warnungen können nicht jedes Sicherheitsproblem erfassen. Überprüfen Sie Ihre Abhängigkeiten immer und halten Sie Manifest- und Sperrdateien auf dem neuesten Stand, um eine genaue Erkennung zu gewährleisten.

  • Neue Sicherheitsrisiken können eine Weile brauchen, um in GitHub Advisory Database aufzutreten und Warnungen auszulösen.

  • Nur Empfehlungen, die von GitHub überprüft wurden, lösen Benachrichtigungen aus.

  •         Dependabot überprüft archivierte Repositorys nicht.

  • Bei GitHub Actions werden Warnungen nur für Aktionen generiert, die die semantische Versionierung verwenden, nicht für SHA-Versionierung.

            GitHub Gibt niemals Sicherheitsrisiken für ein Repository öffentlich offen.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/concepts/supply-chain-security/dependabot-malware-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)

  •         [AUTOTITLE](/code-security/getting-started/auditing-security-alerts)