Software basiert häufig auf Paketen aus verschiedenen Quellen und erstellt Abhängigkeitsbeziehungen, die unwissentlich Sicherheitsrisiken einführen können. Wenn Ihr Code von Paketen mit bekannten Sicherheitsrisiken abhängt, werden Sie ein Ziel für Angreifer, die Ihr System ausnutzen möchten – potenziell Zugriff auf Ihren Code, Ihre Daten, Kunden oder Mitwirkenden. Dependabot alerts Benachrichtigen Sie über anfällige Abhängigkeiten, damit Sie ein Upgrade auf sichere Versionen durchführen und Ihr Projekt schützen können.
Beim Dependabot Senden von Benachrichtigungen
Dependabot überprüft die Standardverzweigung Ihres Repositorys und sendet Benachrichtigungen, wenn:
- Neue Beratungsdaten werden GitHub jede Stunde von GitHub.com synchronisiert. Weitere Informationen finden Sie unter Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database.
- Ihr Abhängigkeitsdiagramm ändert sich – z. B. wenn Sie Commits übertragen, die Pakete oder Versionen aktualisieren
Unterstützte Ökosysteme finden Sie unter Von Abhängigkeitsdiagrammen unterstützte Paket-Ökosysteme.
Grundlegendes zu Warnungen
Wenn GitHub eine anfällige Abhängigkeit erkannt wird, wird auf der Registerkarte "Dependabot" und im Abhängigkeitsdiagramm des Repositorys eine **** Warnung angezeigt. Jede Warnung enthält Folgendes:
- Ein Link zur betroffenen Datei
- Details zur Sicherheitsanfälligkeit und zum Schweregrad
- Informationen zu einer festen Version (sofern verfügbar)
Informationen zum Anzeigen und Verwalten von Warnungen finden Sie unter Anzeigen und Aktualisieren von Dependabot-Warnungen.
Wer kann Warnungen aktivieren?
Administratoren von Repositorys und Organisationsbesitzer können Dependabot alerts für ihre Repositorys und . Wenn diese Option aktiviert ist, GitHub wird sofort das Abhängigkeitsdiagramm generiert und Warnungen für alle von ihr identifizierten anfälligen Abhängigkeiten erstellt.
Unternehmensbesitzer müssen Dependabot alerts für Ihre GitHub Enterprise Server-Instance aktivieren, bevor du dieses Feature nutzen kannst. Weitere Informationen finden Sie unter Aktivieren von Dependabot für dein Unternehmen.
Weitere Informationen findest du unter Konfigurieren von Dependabot-Warnungen.
Funktionsweise von Warnungsbenachrichtigungen
GitHub sendet standardmäßig E-Mail-Benachrichtigungen über neue Warnungen an Personen, die beide:
- Sie verfügen über Schreib-, Wartungs- oder Administratorberechtigungen für ein Repository
- Beobachten Sie das Repository und haben Sie Benachrichtigungen für Sicherheitswarnungen oder für alle Aktivitäten im Repository aktiviert?
Unabhängig von Ihren Benachrichtigungseinstellungen sendet GitHub keine Benachrichtigungen für alle anfälligen, in Ihrem Repository gefundenen Abhängigkeiten, sobald Dependabot erstmals aktiviert wird. Stattdessen erhalten Sie Benachrichtigungen für neue anfällige Abhängigkeiten, die nach Dependabot der Aktivierung identifiziert wurden, wenn Ihre Benachrichtigungseinstellungen dies zulassen.
Wenn Sie sich Sorgen machen, dass Sie zu viele Benachrichtigungen bekommen, empfehlen wir, Dependabot auto-triage rules zu nutzen, um Warnungen mit geringem Risiko automatisch zu verwerfen. Regeln werden vor dem Senden von Warnungsbenachrichtigungen angewendet. Es werden somit keine Benachrichtigung für Warnungen gesendet, die beim Erstellen automatisch geschlossen werden. Weitere Informationen findest du unter Über Auto-Triage-Regeln von Dependabot.
Alternativ können Sie sich für den wöchentlichen E-Mail-Digest entscheiden oder Benachrichtigungen sogar vollständig deaktivieren, während Dependabot alerts aktiviert bleibt.
Einschränkungen
Dependabot alerts einige Einschränkungen aufweisen:
-
Warnungen können nicht jedes Sicherheitsproblem erfassen. Überprüfen Sie Ihre Abhängigkeiten immer und halten Sie Manifest- und Sperrdateien auf dem neuesten Stand, um eine genaue Erkennung zu gewährleisten.
-
Neue Sicherheitsrisiken können eine Weile brauchen, um in GitHub Advisory Database aufzutreten und Warnungen auszulösen.
-
Nur Empfehlungen, die von GitHub überprüft wurden, lösen Benachrichtigungen aus.
-
Dependabot überprüft archivierte Repositorys nicht. -
Dependabot generiert keine Warnungen für Schadsoftware. -
Bei GitHub Actions werden Warnungen nur für Aktionen generiert, die die semantische Versionierung verwenden, nicht für SHA-Versionierung.
Weiterführende Lektüre
-
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts) -
[AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates) -
[AUTOTITLE](/code-security/getting-started/auditing-security-alerts)