Aktivieren von Dependabot für dein Unternehmen

Informationen zu Dependabot für GitHub Enterprise Server

Dependabot hilft Benutzenden dabei, Sicherheitsrisiken in ihren Abhängigkeiten zu finden und zu beheben. Du musst zunächst Dependabot für dein Unternehmen einrichten und kannst dann Dependabot alerts aktivieren, um Benutzende über anfällige Abhängigkeiten zu informieren. Mithilfe von Dependabot updates kannst du Sicherheitsrisiken beheben und sicherstellen, dass die Abhängigkeiten immer auf dem neuesten Stand sind.

Dependabot ist nur eines von vielen verfügbaren Features, um die Lieferkettensicherheit für GitHub zu verstärken. Weitere Informationen zu den anderen Features findest du unter Informationen zur Lieferkettensicherheit für dein Unternehmen.

Informationen zu Dependabot alerts

Mit Dependabot alerts identifiziert GitHub unsichere Abhängigkeiten in Repositorys und erstellt Warnmeldungen auf GitHub Enterprise Server unter Verwendung von Daten aus der GitHub Advisory Database und dem Dienst für Abhängigkeitsdiagramme.

Wir fügen der GitHub Advisory Database Hinweise aus den folgenden Quellen hinzu:

• Auf GitHub gemeldete Sicherheitshinweise
• Die National Vulnerability-Datenbank
• Die npm-Datenbank für Sicherheitsempfehlungen
• Die FriendsOfPHP-Datenbank
• Die Go Vulncheck-Datenbank
• Die Python Packaging Advisory-Datenbank
• Die Ruby Advisory-Datenbank
• Die RustSec Advisory-Datenbank
• Communitybeiträge. Weitere Informationen findest du unter https://github.com/github/advisory-database/pulls.

Wenn du eine andere Datenbank kennst, aus der wir Empfehlungen importieren sollten, informiere uns darüber, indem du ein Problem in https://github.com/github/advisory-database öffnest.

Nach dem Setup von Dependabot für dein Unternehmen werden die Daten zu Sicherheitsrisiken einmal stündlich von GitHub Advisory Database mit deiner Instanz synchronisiert. Nur von GitHub überprüfte Empfehlungen werden synchronisiert. Weitere Informationen finden Sie unter Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database.

Du kannst die Schwachstellendaten auch jederzeit manuell synchronisieren. Weitere Informationen finden Sie unter Anzeigen von Daten zu Sicherheitsrisiken für dein Unternehmen.

Wenn GitHub Enterprise Server Informationen über eine Schwachstelle erhält, identifiziert es Repositorys, die die betroffene Version der Abhängigkeit verwenden, und generiert Dependabot alerts. Du kannst auswählen, ob Benutzer automatisch über neue Dependabot alerts benachrichtigt werden sollen.

Für Repositorys mit aktivierten Dependabot alerts wird das Scannen bei einem Push am Standardzweig ausgelöst, der eine Manifestdatei oder Sperrdatei enthält. Wenn ein neuer Sicherheitsrisikobericht hinzugefügt wird, durchsucht GitHub Enterprise Server außerdem alle vorhandenen Repositorys und generiert Warnmeldungen für jedes Repository, das anfällig ist. Weitere Informationen finden Sie unter Informationen zu Dependabot-Warnungen.

Informationen zu Dependabot updates

Nach dem Aktivieren von Dependabot alerts kannst du Dependabot updates aktivieren. Wenn Dependabot updates für GitHub Enterprise Server aktiviert ist, können Benutzer Repositorys so konfigurieren, dass ihre Abhängigkeiten aktualisiert und automatisch gesichert werden.

Standardmäßig benötigen GitHub Actions-Runner, die von Dependabot verwendet werden, Zugriff auf das Internet, um aktualisierte Pakete aus dem Upstreampaket-Manager herunterzuladen. Für Dependabot updates, das von GitHub Connect unterstützt wird, bietet der Internetzugriff deinen Runnern ein Token, das den Zugriff auf Abhängigkeiten und Empfehlungen ermöglicht, die auf GitHub.com gehostet werden.

Du kannst Dependabot updates für deine bestimmten privaten Registrierungen auf GitHub Enterprise Server-Instanzen mit eingeschränktem oder keinem Internetzugriff aktivieren. Weitere Informationen finden Sie unter Konfigurieren von Dependabot für die Arbeit bei eingeschränktem Internetzugriff.

Mit Dependabot updates erstellt GitHub automatisch Pullanforderungen, um Abhängigkeiten auf zwei Arten zu aktualisieren.

•         **Dependabot version updates**: Benutzer fügen dem Repository eine Dependabot-Konfigurationsdatei hinzu, um Dependabot zu ermöglichen, Pullanforderungen zu erstellen, wenn eine neue Version einer nachverfolgten Abhängigkeit veröffentlicht wird. Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/about-dependabot-version-updates).
  

•         **Dependabot security updates**: Benutzer können eine Repositoryeinstellung konfigurieren, um Dependabot zu ermöglichen, Pullanforderungen zu erstellen, wenn GitHub eine Sicherheitslücke in einer der Abhängigkeiten des Abhängigkeitsgraphen für das Repository erkennt. Weitere Informationen findest du unter [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts) und [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).
  

Aktivieren von Dependabot alerts

Bevor du Dependabot alerts aktivieren kannst, musst du Dependabot für dein Unternehmen einrichten.

• Du musst GitHub Connect aktivieren. Weitere Informationen finden Sie unter Aktivieren von GitHub Connect für GitHub.com.
• Du musst das Abhängigkeitsdiagramm aktivieren. Weitere Informationen finden Sie unter Aktivieren des Abhängigkeitsdiagramms für dein Unternehmen.

1. Klicke in der oberen rechten Ecke von GitHub Enterprise Server auf dein Profilbild und dann auf Enterprise settings.

2. Klicke links auf der Seite auf der Randleiste des Enterprise-Kontos auf GitHub Connect.

3. Wählen Sie unter "Dependabot" rechts neben "Periodisch die GitHub Advisory Database herunterladen, damit Benutzer Benachrichtigungen über Sicherheitslücken in Open-Source-Code-Abhängigkeiten erhalten können", das Dropdown-Menü aus und klicken Sie auf Aktiviert ohne Benachrichtigungen. Klicke optional zum Aktivieren von Warnungen mit Benachrichtigungen auf Aktiviert mit Benachrichtigungen.

   

   Hinweis

   Mit dieser Einstellung werden nur in Echtzeit erfolgende E-Mail- und Webbenachrichtigungen festgelegt. Warnungen der Befehlszeilenschnittstelle (CLI) und E-Mail-Digests werden trotzdem unabhängig davon übermittelt, welche Option ausgewählt ist.

   Tipp

   Es wird empfohlen, Dependabot alerts ohne Benachrichtigungen für die ersten Tage zu konfigurieren, um eine Überlastung mit Echtzeit-Benachrichtigungen zu vermeiden. Nach einigen Tagen kannst du Benachrichtigungen aktivieren, um Dependabot alerts wie gewohnt zu empfangen.

Du kannst jetzt Dependabot alerts für alle bestehenden oder neuen privaten und internen Repositorys auf der Seite mit den Unternehmenseinstellungen für „Code security“ aktivieren. Alternativ können Repositoryadministratorinnen und Organisationsbesitzerinnen Dependabot alerts für jedes Repository und jede Organisation aktivieren. Öffentliche Repositorys sind immer standardmäßig aktiviert. Weitere Informationen finden Sie unter Konfigurieren von Dependabot-Warnungen.

Aktivieren von Dependabot updates

Bevor du Dependabot updates aktivieren kannst:

• Du musst Dependabot alerts für dein Unternehmen aktivieren. Weitere Informationen findest du unter „Aktivierung von Dependabot alerts“ weiter oben.
• Du musst TLS aktivieren. Dependabot updates werden auf selbstgehosteten Runnern ausgeführt, bei denen TLS aktiviert sein muss. Weitere Informationen finden Sie unter Erste Schritte mit selbstgehosteten Runnern für Ihr Unternehmen.
• Du musst GitHub Enterprise Server für die Verwendung von GitHub Actions mit selbst gehosteten Runnern konfigurieren. Weitere Informationen finden Sie unter Erste Schritte mit GitHub Actions für GitHub Enterprise Server.

Dependabot updates werden in GitHub Enterprise Server nicht unterstützt, wenn dein Unternehmen Clustering verwendet.

1. Melde dich unter http(s)://HOSTNAME/login bei Ihre GitHub Enterprise Server-Instance an.

2. Klicke in einem Verwaltungskonto für GitHub Enterprise Server in der rechten oberen Ecke einer beliebigen Seite auf .

3. Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator.

4. Klicke in der Randleiste „ Site admin“ auf Verwaltungskonsole.

5. Klicke auf der Randleiste unter „Einstellungen“ auf Sicherheit.

6. Wähle unter „Sicherheit“ Dependabot updates aus.

7. Klicke auf der Randleiste unter „Einstellungen“ auf Einstellungen speichern.

   Hinweis

   Durch das Speichern von Einstellungen in der Verwaltungskonsole werden Systemdienste neu gestartet, was zu einer für den Benutzer feststellbaren Downtime führen könnte.

8. Warten Sie auf den Abschluss der Konfigurationsausführung.

9. Klicke auf Instanz aufrufen.

10. Konfiguriere dedizierte, selbstgehostete Runner, um die Pull Requests zu erstellen, mit denen die Abhängigkeiten aktualisiert werden. Dies ist erforderlich, da die Workflows eine bestimmte Runnerbezeichnung verwenden. Weitere Informationen finden Sie unter Verwalten von selbstgehosteten Runnern für Dependabot-Updates in Ihrem Unternehmen.

11. Klicke in der oberen rechten Ecke von GitHub Enterprise Server auf dein Profilbild und dann auf Enterprise settings.

12. Klicke links auf der Seite auf der Randleiste des Enterprise-Kontos auf GitHub Connect.

13. Klicke unter Dependabot rechts von „Benutzer können einfach auf Open Source Codeabhängigkeiten ohne Sicherheitsrisiken aktualisieren“ auf Aktivieren.

Wenn du Dependabot alerts aktivierst, denke auch über die Einrichtung von GitHub Actions für Dependabot security updates nach. Dieses Feature ermöglicht Entwicklern, Sicherheitsrisiken in ihren Abhängigkeiten zu beheben. Weitere Informationen finden Sie unter Verwalten von selbstgehosteten Runnern für Dependabot-Updates in Ihrem Unternehmen.

Wenn du erweiterte Sicherheit benötigst, wird empfohlen, Dependabot zu konfigurieren, um private Registrierungen zu verwenden. Weitere Informationen finden Sie unter Konfigurieren des Zugriffs auf private Registrierungen für Dependabot.