Anzeigen und Aktualisieren von Dependabot-Warnungen

Wenn GitHub unsichere Abhängigkeiten in Ihrem Projekt erkannt werden, können Sie Details auf der Registerkarte "Dependabot-Warnungen" Ihres Repositorys anzeigen. Anschließend kannst du dein Projekt aktualisieren, um die Warnung zu verwerfen oder zu löschen.

Wer kann dieses Feature verwenden?

  • Repositoryadministratoren, Organisationsbesitzer und Personen mit Schreib- oder Wartungszugriff auf ein Repository
  • Benutzer und Teams mit explizitem Zugriff. Weitere Informationen findest du unter Gewähren des Zugriffs auf Sicherheitswarnungen.

In diesem Artikel

Auf der Registerkarte Ihres Repositorys Dependabot alerts sind alle geöffneten und geschlossenen Issues und die entsprechenden Pull-Requests Dependabot alertsaufgeführtDependabot security updates. Du kannst Warnungen nach Paket, Ökosystem oder Manifest filtern. Du kannst die Warnungsliste sortieren, und du kannst auf bestimmte Warnungen klicken, um weitere Details anzuzeigen. Sie können Warnungen auch schließen oder erneut öffnen, entweder einzeln oder durch gleichzeitiges Auswählen mehrerer Warnungen. Weitere Informationen finden Sie unter Informationen zu Dependabot-Warnungen.

Informationen zu Updates für anfällige Abhängigkeiten in deinem Repository

Jede Dependabot Warnung verfügt über einen eindeutigen numerischen Bezeichner, und auf der Dependabot alerts Registerkarte wird eine Warnung für jede erkannte Sicherheitsanfälligkeit aufgelistet. Legacy Dependabot alerts gruppierte Sicherheitsrisiken nach Abhängigkeit und generierte eine einzelne Warnung pro Abhängigkeit. Wenn Sie zu einer Legacy-Benachrichtigung Dependabot navigieren, werden Sie zu einer Dependabot alerts Registerkarte umgeleitet, die nach diesem Paket gefiltert ist.

Mithilfe einer Vielzahl von auf der Benutzeroberfläche verfügbaren Filtern und Sortieroptionen können Sie Dependabot alerts filtern und sortieren. Weitere Informationen finden Sie unter "Anzeigen und Priorisieren Dependabot alerts " weiter unten.

Sie können auch Aktionen überwachen, die als Reaktion auf Dependabot Warnungen ausgeführt werden. Weitere Informationen finden Sie unter Prüfen von Sicherheitswarnungen.

Anzeigen und Priorisieren Dependabot alerts

Sie können Dependabot alerts anzeigen, sortieren und filtern, um sich auf die wichtigsten Warnungen zu konzentrieren.

Standardmäßig werden Warnungen nach den wichtigsten sortiert, wodurch Sie Korrekturen basierend auf Faktoren wie potenziellen Auswirkungen, Handlungsbedarf und Relevanz priorisieren können. Diese Priorisierung wird kontinuierlich verbessert und berücksichtigt Signale wie CVSS-Score, Abhängigkeitsbereich und ob anfällige Funktionsaufrufe erkannt werden.

Sie können alle offenen und geschlossenen Dependabot alerts und entsprechenden Dependabot security updates im Dependabot alerts-Reiter Ihres Repositorys sehen.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Security. Wenn die Registerkarte „Security“ nicht angezeigt wird, klicke im Dropdownmenü auf Security.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Wählen Sie im Abschnitt "Ergebnisse" der Randleiste das Dependabot Dropdownmenü aus, und klicken Sie dann auf Sicherheitsanfälligkeiten.

  4. Optional können Sie die Liste der Warnungen verfeinern:

    • Verwenden Sie die Dropdownmenüs oben in der Liste, um Warnungen zu sortieren oder zu filtern.

      Screenshot: Filter- und Sortiermenüs auf der Registerkarte Dependabot alerts

    • Geben Sie direkt in die Suchleiste ein, um Warnungen zu filtern, einschließlich der Volltextsuche über Warnungsdetails und zugehörige Sicherheitsempfehlungen.

    • Klicken Sie auf eine Bezeichnung in einer Warnung, um die Liste automatisch nach dieser Bezeichnung zu filtern.

    • Um Warnungen zu identifizieren, die sich auf Entwicklungsabhängigkeiten auswirken, filtern Sie nach dem scope:development Filter, oder suchen Sie nach Warnungen mit der Bezeichnung "Entwicklung". Auf diese Weise können Sie Warnungen priorisieren, die sich zuerst auf Produktionsabhängigkeiten auswirken.

      Screenshot der Bezeichnung „Entwicklung“, die einer Warnung in der Liste der Warnungen zugewiesen ist.

  5. Klicken Sie auf eine Warnung, um deren Details anzuzeigen. Warnungen zu Entwicklungsabhängigkeiten enthalten die Bezeichnung „Entwicklung“ im Abschnitt „Tags“ auf der Detailseite der Warnungen.

    Screenshot mit dem Abschnitt „Tags“ auf der Seite mit den Warnungsdetails.

  6. Wählen Sie im rechten Bereich einen Zugewiesenen mithilfe der Dropdownliste " Assignees " aus. Sie können die Warnung einem Benutzer oder einem Team zuweisen, um eine eindeutige Zuständigkeit festzulegen, oder sie Copilot zuweisen, um automatisch eine Lösung zu generieren. Dadurch wird klar kommuniziert, wer für die Triagierung der Warnung verantwortlich ist und Ihnen hilft, sich wiederholende Analysen zu vermeiden. Außerdem wird sichergestellt, dass Warnungen nicht verpasst werden.

  7. Wenn Sie optional eine Verbesserung der zugehörigen Sicherheitsempfehlung vorschlagen möchten, klicken Sie auf der rechten Seite der Warnungsdetails auf " Verbesserungen für diese Empfehlung vorschlagen" auf der Seite "Warnungsdetails" GitHub Advisory Database. Weitere Informationen findest du unter Bearbeiten von Sicherheitshinweisen in GitHub Advisory Database.

Tipps zum Priorisieren von Warnungen

  • Verwenden Sie die wichtigste Sortierreihenfolge, um sich auf Warnungen mit dem höchsten potenziellen Einfluss zu konzentrieren.
  • Priorisieren Sie Warnungen, die sich auf Produktionsabhängigkeiten gegenüber Entwicklungsabhängigkeiten auswirken.
  • Verwenden Sie das Feature "Assignees ", um zu klären, wer für die Adressierung jeder Warnung verantwortlich ist, damit Ihr Team Sicherheitsrisiken effektiver nachverfolgen und beheben kann.
  • Verwenden Sie Dependabot auto-triage rules, um Warnungen automatisch zu priorisieren oder zu verwalten. Weitere Informationen findest du unter Über Auto-Triage-Regeln von Dependabot.

Weitere Informationen zu unterstützten Ökosystemen und Manifestdateien für den Abhängigkeitsbereich finden Sie unter Unterstützte Ökosysteme und Manifeste für abhängigkeitsbezogene Bereiche.

Eine vollständige Liste der verfügbaren Filter finden Sie unter Dependabot-Warnungsfilter.

Informationen zum programmgesteuerten Abrufen von Warnungen finden Sie unter REST-API-Endpunkte für Dependabot alerts.

Überprüfen und Beheben von Warnungen

Mit einer GitHub Copilot Enterprise-Lizenz können Sie GitHub Copilot Gespräch um Hilfe bitten, um Dependabot alerts in den Repositories Ihrer Organisation besser zu verstehen. Weitere Informationen finden Sie unter Fragen an GitHub Copilot auf GitHub stellen.

Sie können die Details einer Dependabot Warnung überprüfen, um die Sicherheitsanfälligkeit zu verstehen und zu beheben.

Beheben von anfälligen Abhängigkeiten

  1. Sieh dir die Details zu einer Warnung an. Weitere Informationen finden Sie unter Anzeigen und Priorisieren Dependabot alerts (oben).

  2. Wenn Sie diese Option aktiviert haben Dependabot security updates , gibt es möglicherweise einen Link zu einer Pullanforderung, die die Abhängigkeit korrigiert. Alternativ können Sie oben auf der Seite mit den Warnungsdetails auf "Sicherheitsupdate erstellen" klickenDependabot, um eine Pullanforderung zu erstellen.

    Screenshot einer Dependabot-Warnung mit der Schaltfläche „Dependabot-Sicherheitsupdate erstellen“, die dunkelorange umrandet ist.

  3. Wenn Sie Dependabot security updates nicht verwenden, können Sie optional die Informationen auf der Seite verwenden, um zu entscheiden, auf welche Version der Abhängigkeit Sie ein Upgrade durchführen und eine Pull-Anfrage erstellen, um die Abhängigkeit auf eine sichere Version zu aktualisieren.

  4. Wenn du zum Aktualisieren deiner Abhängigkeit und zum Beheben deiner Schwachstelle bereit bist, führe den Merge für den Pull Request durch.

    Jede durch Dependabot erstellte Pullanforderung enthält Informationen zu Befehlen, die Sie zum Steuern von Dependabot verwenden können. Weitere Informationen finden Sie unter Verwalten von Pull Requests für Abhängigkeitsupdates.

Entlassung Dependabot alerts

Hinweis

Sie können nur offene Warnungen verwerfen.

Wenn du umfangreiche Arbeiten zum Upgrade einer Abhängigkeit planst oder entscheidest, dass für eine Warnung keine Maßnahmen ergriffen werden müssen, kannst du die Warnung schließen. Durch das Schließen von bereits bewerteten Warnungen kannst du neue Warnungen leichter einordnen, sobald sie auftreten.

  1.        [Anzeigen und Priorisieren Dependabot alerts](#viewing-and-prioritizing-dependabot-alerts) (oben).

  2. Wählen Sie die Dropdownliste „Verwerfen“ aus, und klicken Sie auf einen Grund zum Verwerfen der Warnung. Nicht behobene verworfene Warnungen können später erneut geöffnet werden.

  3. Füge optional einen Kommentar hinzu. Der Kommentar zum Schließen wird der Zeitleiste der Warnung hinzugefügt und kann bei Prüfungen und Berichterstellungen als Begründung verwendet werden. Du kannst einen Kommentar über die GraphQL-API abrufen oder festlegen. Der Kommentar ist im Feld dismissComment enthalten. Weitere Informationen findest du in der Dokumentation zur GraphQL-API unter Objekte.

    Screenshot einer Dependabot-Warnungsseite mit der Dropdownliste „Verwerfen“ und der Option zum Hinzufügen eines Kommentars dazu in Orange.

  4. Klicke auf Warnung schließen.

Gleichzeitiges Verwerfen mehrerer Warnungen

  1. Die geöffnete Dependabot alertsAnsicht anzeigen .

  2. Filtere optional die Liste der Warnungen, indem du ein Dropdownmenü auswählst und dann auf den Filter klickst, den du anwenden möchtest. Du kannst Filter auch in die Suchleiste eingeben.

  3. Wähle links neben jedem Warnungstitel die Warnungen aus, die du verwerfen möchtest.

           ![Screenshot der Ansicht für Dependabot alerts. zwei Warnungen sind ausgewählt, und die Kontrollkästchen sind orange umrandet.](/assets/images/help/graphs/select-multiple-alerts.png)

  4. Wähle optional oben in der Liste der Warnungen alle Warnungen auf der Seite aus.

           ![Screenshot des Headerabschnitts der Ansicht für Dependabot alerts. das Kontrollkästchen „Alle auswählen“ ist dunkelorange umrandet.](/assets/images/help/graphs/select-all-alerts.png)

  5. Wähle die Dropdownliste „Warnungen verwerfen“ aus, und klicke auf einen Grund zum Verwerfen der Warnungen.

           ![Screenshot einer Liste von Warnungen. Unter der Schaltfläche „Warnungen verwerfen“ wird ein Dropdownmenü mit der Bezeichnung „Grund zum Verwerfen auswählen“ erweitert.](/assets/images/help/graphs/dismiss-multiple-alerts.png)

Anzeigen und Aktualisieren von geschlossenen Warnungen

Du kannst alle geöffneten Warnungen anzeigen und Warnungen erneut öffnen, die zuvor geschlossen wurden. Geschlossene Warnungen, die bereits behoben wurden, können nicht erneut geöffnet werden.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Security. Wenn die Registerkarte „Security“ nicht angezeigt wird, klicke im Dropdownmenü auf Security.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Wählen Sie im Abschnitt "Ergebnisse" der Randleiste das Dependabot Dropdownmenü aus, und klicken Sie dann auf Sicherheitsanfälligkeiten.

  4. Klicke auf Geschlossen, um geschlossene Warnungen anzuzeigen.

    Screenshot der Liste der Dependabot alerts mit orange umrandeter Registerkarte „Geschlossen“

  5. Klicke auf die Warnung, die du anzeigen oder aktualisieren möchtest.

  6. Alternativ kannst du auf Erneut öffnen klicken, wenn die Datei geschlossen wurde und du sie wieder öffnen möchtest. Warnungen, die bereits behoben wurden, können nicht erneut geöffnet werden.

    Screenshot: geschlossene Dependabot-Warnung Eine Schaltfläche mit dem Titel „Erneut öffnen“ ist dunkelorange umrandet.

Gleichzeitiges erneutes Öffnen mehrerer Warnungen

  1. Die geschlossene Dependabot alertsAnsicht anzeigen .

  2. Wähle links jedem neben Warnungstitel die Warnungen aus, die du erneut öffnen möchtest, indem du das Kontrollkästchen neben der jeweiligen Warnung aktivierst.

  3. Wähle optional oben in der Warnungsliste alle geschlossenen Warnungen auf der Seite aus.

           ![Screenshot: Warnungen auf der Registerkarte „Geschlossen“. Das Kontrollkästchen „Alle auswählen“ ist dunkelorange umrandet.](/assets/images/help/graphs/select-all-closed-alerts.png)

  4. Klicke auf Erneut öffnen, um die Warnungen erneut zu öffnen. Warnungen, die bereits behoben wurden, können nicht erneut geöffnet werden.

Überprüfen der Audit-Protokolle für Dependabot alerts

Wenn ein Mitglied Ihrer Organisation oder Ihres Unternehmens eine Aktion im Zusammenhang mit Dependabot alertsausführt, können Sie die Aktionen im Überwachungsprotokoll überprüfen. Weitere Informationen zum Zugriff auf das Protokoll finden Sie unter Auditprotokoll deiner Organisation überprüfen und .

Screenshot des Überwachungsprotokolls mit Dependabot-Warnungen

Ereignisse in Ihrem Überwachungsprotokoll Dependabot alerts enthalten Details, z. B. wer die Aktion ausgeführt hat, was die Aktion war und wann die Aktion ausgeführt wurde. Das Ereignis enthält außerdem einen Link zu der Warnung selbst. Wenn ein Mitglied Ihrer Organisation eine Warnung verwirft, zeigt das Ereignis den Grund dafür und einen Kommentar an. Informationen zu den Dependabot alerts Aktionen finden Sie in der repository_vulnerability_alert Kategorie in Audit-Protokollereignisse für Ihre Organisation und .