Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen

Sie können eigene Regeln für die automatische Triage erstellen, um zu steuern, welche Warnungen geschlossen oder verworfen werden, und für welche Warnungen Dependabot Pull Requests geöffnet werden sollen.

Wer kann dieses Feature verwenden?

  • Organisationsbesitzer
  • Sicherheitsmanager
  • Benutzende mit Administratorzugriff (können Regeln für die automatische Triage für das Repository aktivieren, deaktivieren und anzeigen sowie Benutzerdefinierte Regeln für die automatische Triage erstellen)

GitHub-Voreinstellungen sind für alle Repositorytypen verfügbar.

Benutzerdefinierte Regeln für die automatische Triage sind für die folgenden Repositorytypen verfügbar:

  • Öffentliche Repositorys auf GitHub.com
  • Repositorys im Besitz von Organisationen auf GitHub Team, die GitHub Code Security aktiviert haben

In diesem Artikel

Informationen zu Benutzerdefinierte Regeln für die automatische Triage

Sie können eigene Dependabot auto-triage rules basierend auf Warnungsmetadaten erstellen. Du kannst festlegen, ob Warnhinweise auf unbestimmte Zeit ignoriert werden sollen oder ob Warnungen bis zur Verfügbarkeit eines Patches aufgeschoben werden sollen, und du kannst angeben, für welche Dependabot alerts du Dependabot Pull-Requests öffnen lassen möchtest. Regeln werden angewendet, bevor Warnungsbenachrichtigungen gesendet werden. Das Erstellen von benutzerdefinierten Regeln, mit denen Warnungen mit geringem Risiko automatisch geschlossen werden, verringern zukünftige Benachrichtigungsgeräusche.

Da alle Regeln, die du erstellst, sowohl für zukünftige als auch für aktuelle Warnungen gelten, kannst du auch Regeln für die automatische Triage verwenden, um deine Warnungen in bulk zu verwalten.

Administratoren können Benutzerdefinierte Regeln für die automatische Triage für ihre Repositorien erstellen. Für private oder interne Repositorys erfordert dies GitHub Code Security.

Personen mit den Rollen „Organisationsbesitzer“ und „Sicherheitsmanager“ können Benutzerdefinierte Regeln für die automatische Triage auf Organisationsebene festlegen und dann auswählen, ob eine Regel in allen öffentlichen und privaten Repositorys in der Organisation durchgesetzt oder aktiviert wird.

  •      **Durchgesetzt**: Wenn eine Regel auf Organisationsebene „durchgesetzt“ wird, können Repositoryadministratoren die Regel nicht bearbeiten, deaktivieren oder löschen.

  •      **Aktiviert**: Wenn eine Regel auf Organisationsebene „aktiviert“ ist, können Repositoryadministratoren die Regel für ihr Repository dennoch deaktivieren.

Hinweis

Wenn eine Regel auf Organisationsebene und eine Regel auf Repositoryebene widersprüchliche Verhaltensweisen vorgeben, hat die von der Regel auf Organisationsebene festgelegte Aktion Vorrang. Regeln für das Schließen werden immer vor den Regeln wirksam, die Pull Requests von Dependabot auslösen.

Mithilfe der folgenden Metadaten können Sie Regeln erstellen, um Warnungen als Ziel zu verwenden:

  • CVE-ID
  • CWE
  • Abhängigkeitsbereich (devDependency oder runtime)
  • Ökosystem
  • GHSA-ID
  • Manifestpfad (nur für Regeln auf Repositoryebene)
  • Paketname
  • Patch-Verfügbarkeit
  • Schweregrad
  • EPSS-Punktzahl

Informationen zur Interaktion von Benutzerdefinierte Regeln für die automatische Triage und Dependabot security updates

Hinweis

Dependabot öffnet nur Pullanforderungen zum Auflösen von Dependabot alerts, nicht Dependabot malware alerts.

Mit Benutzerdefinierte Regeln für die automatische Triage kannst du festlegen, für welche Dependabot alerts du Pull-Requests öffnen möchtest. Damit eine Regel zum „Öffnen einer Pull Request“ wirksam werden kann, müssen Sie jedoch sicherstellen, dass Dependabot security updates für das Repository (oder die Repositorys) deaktiviert sind, auf das die Regel angewendet werden soll.

Wenn Dependabot security updates für ein Repository aktiviert sind, versucht Dependabot automatisch, Pull Requests zu öffnen, um alle offenen Dependabot-Warnung mit einem verfügbaren Patch aufzulösen. Wenn Sie dieses Verhalten lieber mithilfe einer Regel anpassen möchten, müssen Sie Dependabot security updates deaktiviert lassen.

Weitere Informationen zum Aktivieren oder Deaktivieren von Dependabot security updates für ein Repository findest du unter Konfigurieren von Dependabot-Sicherheitsupdates.

Hinzufügen von Benutzerdefinierte Regeln für die automatische Triage zu Ihrem Repository

Hinweis

Während der öffentliche Vorschau kannst du bis zu 10 Benutzerdefinierte Regeln für die automatische Triage für ein Repository erstellen.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.

  4. Klicke im Abschnitt „Dependabot“, rechts neben „Dependabot rules“ auf .

  5. Klicke auf New rule (Neue Regel).

  6. Beschreiben Sie unter „Regelname“, was diese Regel tun soll.

  7. Unter „Status“ können Sie über das Dropdownmenü auswählen, ob die Regel für das Repository aktiviert oder deaktiviert werden soll.

  8. Wählen Sie unter „Zielwarnungen" die Metadaten aus, die Sie zum Filtern von Warnungen verwenden möchten.

  9. Wählen Sie unter „Regeln“ die Aktion aus, die Sie für Warnungen ausführen möchten, die den Metadaten entsprechen:

    • Wählen Sie Warnungen schließen aus, damit Warnungen, die den Metadaten entsprechen, automatisch geschlossen werden. Sie können Warnungen auf unbestimmte Zeit ignorieren oder bis ein Patch verfügbar ist.

    • Wählen Sie Eine Pull-Anfrage öffnen, um diese Warnung zu beheben, wenn Dependabot Änderungen vorschlagen soll, um Warnungen zu beheben, die den Zielmetadaten entsprechen. Beachte, dass diese Option nicht verfügbar ist, wenn du bereits die Option gewählt hast, Warnungen auf unbestimmte Zeit abzulehnen, oder wenn Dependabot security updates in deinen Repository-Einstellungen aktiviert ist.

      Hinweis

      Dependabot öffnet nur Pullanforderungen zum Auflösen von Dependabot alerts, nicht Dependabot malware alerts.

  10. Klicken Sie auf Regel erstellen.

Hinzufügen von Benutzerdefinierte Regeln für die automatische Triage zu Ihrer Organisation

Sie können Benutzerdefinierte Regeln für die automatische Triage für alle in Frage kommenden Repositories in Ihrer Organisation hinzufügen. Weitere Informationen finden Sie unter Konfigurieren globaler Sicherheitseinstellungen für Ihre Organisation.

Bearbeiten oder Löschen von Benutzerdefinierte Regeln für die automatische Triage für Ihr Repository

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.

  4. Klicke im Abschnitt „Dependabot“, rechts neben „Dependabot rules“ auf .

  5. Klicken Sie unter „Repositoryregeln“ rechts neben der Regel, die Sie bearbeiten oder löschen möchten, auf .

  6. Um die Regel zu bearbeiten, nehmen Sie alle Änderungen an den entsprechenden Feldern vor, und klicken Sie dann auf Regel speichern.

  7. Um die Regel zu löschen, klicken Sie unter „Gefahrenzone“ auf Regel löschen.

  8. Im Dialogfeld „Möchten Sie diese Regel wirklich löschen?“ überprüfen Sie die Informationen und klicken Sie dann auf Regel löschen.

Bearbeiten oder Löschen von Benutzerdefinierte Regeln für die automatische Triage für Ihre Organisation

Sie können Benutzerdefinierte Regeln für die automatische Triage für alle in Frage kommenden Repositorys in Ihrer Organisation bearbeiten oder löschen. Weitere Informationen finden Sie unter Konfigurieren globaler Sicherheitseinstellungen für Ihre Organisation.