Diese Version von GitHub Enterprise Server wird eingestellt am 2026-04-09. Es wird keine Patch-Freigabe vorgenommen, auch nicht für kritische Sicherheitsprobleme. Für bessere Leistung, verbesserte Sicherheit und neue Features aktualisiere auf die neueste Version von GitHub Enterprise Server. Wende dich an den GitHub Enterprise-Support, um Hilfe zum Upgrade zu erhalten.

Informationen zu Dependabot-Warnungen

          Dependabot alerts Helfen Sie beim Auffinden und Beheben anfälliger Abhängigkeiten, bevor sie zu Sicherheitsrisiken werden.

Wer kann dieses Feature verwenden?

Dependabot alerts sind für unternehmenseigene und benutzereigene Repositorien verfügbar.

In diesem Artikel

Software basiert häufig auf Paketen aus verschiedenen Quellen und erstellt Abhängigkeitsbeziehungen, die unwissentlich Sicherheitsrisiken einführen können. Wenn Ihr Code von Paketen mit bekannten Sicherheitsrisiken abhängt, werden Sie ein Ziel für Angreifer, die Ihr System ausnutzen möchten – potenziell Zugriff auf Ihren Code, Ihre Daten, Kunden oder Mitwirkenden. Dependabot alerts Benachrichtigen Sie über anfällige Abhängigkeiten, damit Sie ein Upgrade auf sichere Versionen durchführen und Ihr Projekt schützen können.

Beim Dependabot Senden von Benachrichtigungen

          Dependabot überprüft die Standardverzweigung Ihres Repositorys und sendet Benachrichtigungen, wenn:

Unterstützte Ökosysteme finden Sie unter Von Abhängigkeitsdiagrammen unterstützte Paket-Ökosysteme.

Grundlegendes zu Warnungen

Wenn GitHub eine anfällige Abhängigkeit erkannt wird, wird auf der Registerkarte "Dependabot" und im Abhängigkeitsdiagramm des Repositorys eine **** Warnung angezeigt. Jede Warnung enthält Folgendes:

  • Ein Link zur betroffenen Datei
  • Details zur Sicherheitsanfälligkeit und zum Schweregrad
  • Informationen zu einer festen Version (sofern verfügbar)

Informationen zum Anzeigen und Verwalten von Warnungen finden Sie unter Anzeigen und Aktualisieren von Dependabot-Warnungen.

Wer kann Warnungen aktivieren?

Administratoren von Repositorys und Organisationsbesitzer können Dependabot alerts für ihre Repositorys und . Wenn diese Option aktiviert ist, GitHub wird sofort das Abhängigkeitsdiagramm generiert und Warnungen für alle von ihr identifizierten anfälligen Abhängigkeiten erstellt.

Unternehmensbesitzer müssen Dependabot alerts für Ihre GitHub Enterprise Server-Instance aktivieren, bevor du dieses Feature nutzen kannst. Weitere Informationen finden Sie unter Aktivieren von Dependabot für dein Unternehmen.

Weitere Informationen findest du unter Konfigurieren von Dependabot-Warnungen.

Funktionsweise von Warnungsbenachrichtigungen

          GitHub sendet standardmäßig E-Mail-Benachrichtigungen über neue Warnungen an Personen, die beide:
  • Sie verfügen über Schreib-, Wartungs- oder Administratorberechtigungen für ein Repository
  • Beobachten Sie das Repository und haben Sie Benachrichtigungen für Sicherheitswarnungen oder für alle Aktivitäten im Repository aktiviert?

Unabhängig von Ihren Benachrichtigungseinstellungen sendet GitHub keine Benachrichtigungen für alle anfälligen, in Ihrem Repository gefundenen Abhängigkeiten, sobald Dependabot erstmals aktiviert wird. Stattdessen erhalten Sie Benachrichtigungen für neue anfällige Abhängigkeiten, die nach Dependabot der Aktivierung identifiziert wurden, wenn Ihre Benachrichtigungseinstellungen dies zulassen.

Wenn Sie sich Sorgen machen, dass Sie zu viele Benachrichtigungen bekommen, empfehlen wir, Dependabot auto-triage rules zu nutzen, um Warnungen mit geringem Risiko automatisch zu verwerfen. Regeln werden vor dem Senden von Warnungsbenachrichtigungen angewendet. Es werden somit keine Benachrichtigung für Warnungen gesendet, die beim Erstellen automatisch geschlossen werden. Weitere Informationen findest du unter Über Auto-Triage-Regeln von Dependabot.

Alternativ können Sie sich für den wöchentlichen E-Mail-Digest entscheiden oder Benachrichtigungen sogar vollständig deaktivieren, während Dependabot alerts aktiviert bleibt.

Einschränkungen

          Dependabot alerts einige Einschränkungen aufweisen:

  • Warnungen können nicht jedes Sicherheitsproblem erfassen. Überprüfen Sie Ihre Abhängigkeiten immer und halten Sie Manifest- und Sperrdateien auf dem neuesten Stand, um eine genaue Erkennung zu gewährleisten.

  • Neue Sicherheitsrisiken können eine Weile brauchen, um in GitHub Advisory Database aufzutreten und Warnungen auszulösen.

  • Nur Empfehlungen, die von GitHub überprüft wurden, lösen Benachrichtigungen aus.

  •         Dependabot überprüft archivierte Repositorys nicht.

  •         Dependabot generiert keine Warnungen für Schadsoftware.

  • Bei GitHub Actions werden Warnungen nur für Aktionen generiert, die die semantische Versionierung verwenden, nicht für SHA-Versionierung.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)

  •         [AUTOTITLE](/code-security/getting-started/auditing-security-alerts)