Anzeigen und Aktualisieren von Dependabot-Warnungen

Wenn GitHub unsichere Abhängigkeiten in Ihrem Projekt erkennt, können Sie die Details dazu auf der Registerkarte „Dependabot-Warnungen“ Ihres Repositorys anzeigen. Anschließend kannst du dein Projekt aktualisieren, um die Warnung zu verwerfen oder zu löschen.

Wer kann dieses Feature verwenden?

  • Repositoryadministratoren, Organisationsbesitzer und Personen mit Schreib- oder Wartungszugriff auf ein Repository
  • Benutzer und Teams mit explizitem Zugriff. Weitere Informationen findest du unter Gewähren des Zugriffs auf Sicherheitswarnungen.

In diesem Artikel

Auf der Dependabot alerts-Registerkarte Ihres Repositorys werden alle offenen und geschlossenen Dependabot alerts und die entsprechenden Dependabot security updates angezeigt. Du kannst Warnungen nach Paket, Ökosystem oder Manifest filtern. Du kannst die Warnungsliste sortieren, und du kannst auf bestimmte Warnungen klicken, um weitere Details anzuzeigen. Sie können Warnungen auch schließen oder erneut öffnen, entweder einzeln oder durch gleichzeitiges Auswählen mehrerer Warnungen. Weitere Informationen finden Sie unter Informationen zu Dependabot-Warnungen.

Informationen zu Updates für anfällige Abhängigkeiten in deinem Repository

Jede Dependabot-Warnung verfügt über einen eindeutigen numerischen Bezeichner, und auf der Dependabot alerts-Registerkarte wird eine Warnung für jedes erkannte Sicherheitsrisiko aufgeführt. Dependabot alerts-Legacywarnungen haben Sicherheitsrisiken nach Abhängigkeit gruppiert und eine einzelne Warnung pro Abhängigkeit generiert. Wenn du zu einer Dependabot-Legacywarnung navigierst, wirst du zu einer Dependabot alerts-Registerkarte weitergeleitet, die nach diesem Paket gefiltert ist.

Du kannst Dependabot alerts mithilfe einer Vielzahl von Filtern und Sortieroptionen filtern und sortieren, die auf der Benutzeroberfläche verfügbar sind. Weitere Informationen finden Sie unter Anzeigen und Priorisieren von Dependabot alerts.

Du kannst auch Aktionen überwachen, die als Reaktion auf Dependabot-Warnungen ausgeführt wurden. Weitere Informationen finden Sie unter Prüfen von Sicherheitswarnungen.

Anzeigen und Priorisieren von Dependabot alerts

Sie können Dependabot alerts anzeigen, sortieren und filtern, um sich auf die wichtigsten Warnungen zu konzentrieren.

Standardmäßig werden Warnungen nach den wichtigsten sortiert, wodurch Sie Korrekturen basierend auf Faktoren wie potenziellen Auswirkungen, Handlungsbedarf und Relevanz priorisieren können. Diese Priorisierung wird kontinuierlich verbessert und berücksichtigt Signale wie CVSS-Score, Abhängigkeitsbereich und ob anfällige Funktionsaufrufe erkannt werden.

Sie können alle offenen und geschlossenen Dependabot alerts und entsprechenden Dependabot security updates im Dependabot alerts-Reiter Ihres Repositorys sehen.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Security. Wenn die Registerkarte „Security“ nicht angezeigt wird, klicke im Dropdownmenü auf Security.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicke auf der Randleiste der Sicherheitsübersicht auf Dependabot . Wenn diese Option fehlt, bedeutet das, dass du keinen Zugriff auf die Sicherheitswarnungen hast und dir Zugriff gewährt werden muss. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.

    Screenshot der Sicherheitsübersicht mit dunkelorange umrandeter Registerkarte „Dependabot“.

  4. Optional können Sie die Liste der Warnungen verfeinern:

    • Verwenden Sie die Dropdownmenüs oben in der Liste, um Warnungen zu sortieren oder zu filtern.

      Screenshot: Filter- und Sortiermenüs auf der Registerkarte Dependabot alerts

    • Geben Sie direkt in die Suchleiste ein, um Warnungen zu filtern, einschließlich der Volltextsuche über Warnungsdetails und zugehörige Sicherheitsempfehlungen.

    • Klicken Sie auf eine Bezeichnung in einer Warnung, um die Liste automatisch nach dieser Bezeichnung zu filtern.

    • Um Warnungen zu identifizieren, die sich auf Entwicklungsabhängigkeiten auswirken, filtern Sie nach dem scope:development Filter, oder suchen Sie nach Warnungen mit der Bezeichnung "Entwicklung". Auf diese Weise können Sie Warnungen priorisieren, die sich zuerst auf Produktionsabhängigkeiten auswirken.

      Screenshot der Bezeichnung „Entwicklung“, die einer Warnung in der Liste der Warnungen zugewiesen ist.

  5. Klicken Sie auf eine Warnung, um deren Details anzuzeigen. Warnungen zu Entwicklungsabhängigkeiten enthalten die Bezeichnung „Entwicklung“ im Abschnitt „Tags“ auf der Detailseite der Warnungen.

    Screenshot mit dem Abschnitt „Tags“ auf der Seite mit den Warnungsdetails.

  6. Wenn du optional eine Verbesserung der entsprechenden Sicherheitsempfehlung vorschlagen möchtest, klicke auf der rechten Seite mit den Warnungsdetails auf Vorschlagen von Verbesserungen für diese Empfehlung in GitHub Advisory Database . Weitere Informationen findest du unter Bearbeiten von Sicherheitshinweisen in GitHub Advisory Database.

Tipps zum Priorisieren von Warnungen

  • Verwenden Sie die wichtigste Sortierreihenfolge, um sich auf Warnungen mit dem höchsten potenziellen Einfluss zu konzentrieren.
  • Priorisieren Sie Warnungen, die sich auf Produktionsabhängigkeiten gegenüber Entwicklungsabhängigkeiten auswirken.
  • Verwenden Sie Dependabot auto-triage rules, um Warnungen automatisch zu priorisieren oder zu verwalten. Weitere Informationen findest du unter Über Auto-Triage-Regeln von Dependabot.

Weitere Informationen zu unterstützten Ökosystemen und Manifestdateien für den Abhängigkeitsbereich finden Sie unter Unterstützte Ökosysteme und Manifeste für abhängigkeitsbezogene Bereiche.

Eine vollständige Liste der verfügbaren Filter finden Sie unter Dependabot-Warnungsfilter.

Informationen zum programmgesteuerten Abrufen von Warnungen finden Sie unter REST-API-Endpunkte für Dependabot alerts.

Überprüfen und Beheben von Warnungen

Sie können die Details eines Dependabot_Warnhinweises überprüfen, um die Sicherheitsanfälligkeit zu verstehen und zu beheben.

Beheben von anfälligen Abhängigkeiten

  1. Sieh dir die Details zu einer Warnung an. Weitere Informationen finden Sie unter Anzeigen und Priorisierung von (oben).

  2. Wenn du Dependabot security updates aktiviert hast, gibt es möglicherweise einen Link zu einem Pull Request, der die Abhängigkeit behebt. Alternativ kannst du oben auf der Seite mit den Warnungsdetails auf Dependabot-Sicherheitsupdate erstellen klicken, um einen Pull Request zu erstellen.

    Screenshot einer Dependabot-Warnung mit der Schaltfläche „Dependabot-Sicherheitsupdate erstellen“, die dunkelorange umrandet ist.

  3. (Optional) Falls du Dependabot security updates nicht verwendest, kannst du anhand der Informationen auf der Seite entscheiden, auf welche Version der Abhängigkeit du ein Upgrade durchführen möchtest und einen Pull Request erstellen, um die Abhängigkeit auf eine sichere Version zu aktualisieren.

  4. Wenn du zum Aktualisieren deiner Abhängigkeit und zum Beheben deiner Schwachstelle bereit bist, führe den Merge für den Pull Request durch.

    Jeder von Dependabot ausgelöste Pull Request enthält Informationen zu Befehlen, die Sie zum Steuern von Dependabot verwenden können. Weitere Informationen finden Sie unter Verwalten von Pull Requests für Abhängigkeitsupdates.

Schließen von Dependabot alerts

Hinweis

Sie können nur offene Warnungen verwerfen.

Wenn du umfangreiche Arbeiten zum Upgrade einer Abhängigkeit planst oder entscheidest, dass für eine Warnung keine Maßnahmen ergriffen werden müssen, kannst du die Warnung schließen. Durch das Schließen von bereits bewerteten Warnungen kannst du neue Warnungen leichter einordnen, sobald sie auftreten.

  1.           [Anzeigen und Priorisieren von Dependabot alerts](#viewing-and-prioritizing-dependabot-alerts) (oben).

  2. Wählen Sie die Dropdownliste „Verwerfen“ aus, und klicken Sie auf einen Grund zum Verwerfen der Warnung. Nicht behobene verworfene Warnungen können später erneut geöffnet werden.

  3. Füge optional einen Kommentar hinzu. Der Kommentar zum Schließen wird der Zeitleiste der Warnung hinzugefügt und kann bei Prüfungen und Berichterstellungen als Begründung verwendet werden. Du kannst einen Kommentar über die GraphQL-API abrufen oder festlegen. Der Kommentar ist im Feld dismissComment enthalten. Weitere Informationen findest du in der Dokumentation zur GraphQL-API unter Objects.

    Screenshot einer Dependabot-Warnungsseite mit der Dropdownliste „Verwerfen“ und der Option zum Hinzufügen eines Kommentars dazu in Orange.

  4. Klicke auf Warnung schließen.

Gleichzeitiges Verwerfen mehrerer Warnungen

  1. Zeige die geöffnete Dependabot alerts an.
  2. Filtere optional die Liste der Warnungen, indem du ein Dropdownmenü auswählst und dann auf den Filter klickst, den du anwenden möchtest. Du kannst Filter auch in die Suchleiste eingeben.
  3. Wähle links neben jedem Warnungstitel die Warnungen aus, die du verwerfen möchtest.
    Screenshot der Ansicht für Dependabot alerts. zwei Warnungen sind ausgewählt, und die Kontrollkästchen sind orange umrandet.
  4. Wähle optional oben in der Liste der Warnungen alle Warnungen auf der Seite aus.
    Screenshot des Headerabschnitts der Ansicht für Dependabot alerts. das Kontrollkästchen „Alle auswählen“ ist dunkelorange umrandet.
  5. Wähle die Dropdownliste „Warnungen verwerfen“ aus, und klicke auf einen Grund zum Verwerfen der Warnungen.
    Screenshot einer Liste von Warnungen. Unter der Schaltfläche „Warnungen verwerfen“ wird ein Dropdownmenü mit der Bezeichnung „Grund zum Verwerfen auswählen“ erweitert.

Anzeigen und Aktualisieren von geschlossenen Warnungen

Du kannst alle geöffneten Warnungen anzeigen und Warnungen erneut öffnen, die zuvor geschlossen wurden. Geschlossene Warnungen, die bereits behoben wurden, können nicht erneut geöffnet werden.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Security. Wenn die Registerkarte „Security“ nicht angezeigt wird, klicke im Dropdownmenü auf Security.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicke auf der Randleiste der Sicherheitsübersicht auf Dependabot . Wenn diese Option fehlt, bedeutet das, dass du keinen Zugriff auf die Sicherheitswarnungen hast und dir Zugriff gewährt werden muss. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.

    Screenshot der Sicherheitsübersicht mit dunkelorange umrandeter Registerkarte „Dependabot“.

  4. Klicke auf Geschlossen, um geschlossene Warnungen anzuzeigen.

    Screenshot der Liste der Dependabot alerts mit orange umrandeter Registerkarte „Geschlossen“

  5. Klicke auf die Warnung, die du anzeigen oder aktualisieren möchtest.

  6. Alternativ kannst du auf Erneut öffnen klicken, wenn die Datei geschlossen wurde und du sie wieder öffnen möchtest. Warnungen, die bereits behoben wurden, können nicht erneut geöffnet werden.

    Screenshot: geschlossene Dependabot-Warnung Eine Schaltfläche mit dem Titel „Erneut öffnen“ ist dunkelorange umrandet.

Gleichzeitiges erneutes Öffnen mehrerer Warnungen

  1. Zeige die geschlossenen Dependabot alerts an.
  2. Wähle links jedem neben Warnungstitel die Warnungen aus, die du erneut öffnen möchtest, indem du das Kontrollkästchen neben der jeweiligen Warnung aktivierst.
  3. Wähle optional oben in der Warnungsliste alle geschlossenen Warnungen auf der Seite aus.
    Screenshot: Warnungen auf der Registerkarte „Geschlossen“. Das Kontrollkästchen „Alle auswählen“ ist dunkelorange umrandet.
  4. Klicke auf Erneut öffnen, um die Warnungen erneut zu öffnen. Warnungen, die bereits behoben wurden, können nicht erneut geöffnet werden.

Überprüfen der Überwachungsprotokolle für Dependabot alerts

Wenn ein Mitglied deiner Organisation eine Aktion im Zusammenhang mit Dependabot alerts ausführt, kannst du die Aktionen im Überwachungsprotokoll überprüfen. Weitere Informationen zum Zugreifen auf das Protokoll finden Sie unter Auditprotokoll deiner Organisation überprüfen und Zugreifen auf das Überwachungsprotokoll für dein Unternehmen.

Screenshot des Überwachungsprotokolls mit Dependabot-Warnungen

Ereignisse in deinem Überwachungsprotokoll für Dependabot alerts enthalten Details, z. B. wer die Aktion ausgeführt hat, was die Aktion war und wann die Aktion ausgeführt wurde. Das Ereignis enthält außerdem einen Link zu der Warnung selbst. Wenn ein Mitglied Ihrer Organisation eine Warnung verwirft, zeigt das Ereignis den Grund dafür und einen Kommentar an. Informationen zu den Aktionen für Dependabot alerts finden Sie in der Kategorie repository_vulnerability_alert in Überwachungsprotokollereignisse für deine Organisation.