Enterprise Server 3.15 ist derzeit als Release Candidate verfügbar.

Konfigurieren von Dependabot-Warnungen

Aktiviere Dependabot alerts, die generiert werden sollen, wenn eine neue anfällige Abhängigkeit in einem deiner Repositorys gefunden wird.

Wer kann dieses Feature verwenden?

  • Repositoryadministratoren, Organisationsbesitzer und Personen mit Schreib- oder Wartungszugriff auf ein Repository
  • Benutzer und Teams mit explizitem Zugriff. Weitere Informationen findest du unter Gewähren des Zugriffs auf Sicherheitswarnungen.

In diesem Artikel

Informationen zu Dependabot alerts für anfällige Abhängigkeiten

Eine Sicherheitslücke ist ein Problem im Code eines Projekts, das ausgenutzt werden könnte, um die Vertraulichkeit, Integrität oder Verfügbarkeit des Projekts oder anderer Projekte, die seinen Code verwenden, zu beeinträchtigen. Sicherheitsrisiken variieren im Hinblick auf Typ, Schweregrad und Angriffsmethode.

Dependabot überprüft Code, wenn dem GitHub Advisory Database oder dem Abhängigkeitsdiagramm für eine Repositoryänderung eine neue Beratung hinzugefügt wird. Wenn anfällige Abhängigkeiten erkannt werden, werden Dependabot alerts generiert. Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen.

Wenn Sie Dependabot security updates für Ihr Repository aktiviert haben, kann die Warnung außerdem einen Link zu einem Pull Request enthalten, um die Manifest- oder Sperrdatei auf die Mindestversion zu aktualisieren, die die Sicherheitslücke behebt. Weitere Informationen findest du unter Informationen zu Dependabot-Sicherheitsupdates.

Du kannst Dependabot alerts für Folgendes aktivieren oder deaktivieren:

  • Dein persönliches Konto
  • Dein Repository
  • Ihre Organisation
  • Dein Unternehmen

Darüber hinaus können Sie Dependabot auto-triage rules verwenden, um Ihre Warnungen in großem Umfang zu verwalten, so dass Sie Warnungen automatisch ignorieren oder den Standbymodus aktivieren können und angeben können, für welche Warnungen Dependabot Pull Requests öffnen soll. Informationen zu den verschiedenen Typen von Regeln für die automatische Einstufung und dazu, ob Ihre Repositorys berechtigt sind, finden Sie unter „Über Auto-Triage-Regeln von Dependabot“.

Verwalten von Dependabot alerts für dein persönliches Konto

Dependabot alerts für deine Repositorys können von deinem oder deiner Unternehmensbesitzer*in aktiviert oder deaktiviert werden. Weitere Informationen findest du unter Aktivieren von Dependabot für dein Unternehmen.

Verwalten von Dependabot alerts für dein Repository

Sie können Dependabot alerts für Ihr öffentliches, privates oder internes Repository verwalten.

Personen mit Schreib-, Verwaltungs- oder Administratorberechtigungen in den betroffenen Repositorys werden standardmäßig über neue Dependabot alerts benachrichtigt. GitHub Enterprise Server teilt ermittelte Abhängigkeiten mit Sicherheitsrisiken für Repositorys nie öffentlich mit. Du kannst Dependabot alerts auch für weitere Personen oder Teams sichtbar machen, die in Repositorys arbeiten, die du besitzt oder für die du Administratorberechtigungen hast.

Eine Unternehmensbesitzerin muss zuerst Dependabot für dein Unternehmen einrichten, bevor du Dependabot alerts für dein Repository verwalten kannst. Weitere Informationen finden Sie unter Aktivieren von Dependabot für dein Unternehmen.

Aktivieren oder Deaktivieren von Dependabot alerts für ein Repository

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Klicke unter „Codesicherheit und -analyse“ rechts neben „Dependabot alerts “ auf Aktivieren, um das Feature zu aktivieren, oder auf Deaktivieren, um es zu deaktivieren.

Verwalten von Dependabot alerts für deine Organisation

Sie können Dependabot alerts für alle in Frage kommenden Repositorys in Ihrer Organisation aktivieren. Weitere Informationen findest du unter Informationen zum Aktivieren von Sicherheitsfeatures im großen Stil.

Verwalten von Dependabot alerts für dein Unternehmen

Du kannst Dependabot alerts für alle derzeitigen und zukünftigen Repositorys im Besitz von Organisationen in deinem Unternehmen aktivieren oder deaktivieren. Deine Änderungen wirken sich auf alle Repositorys aus.

  1. Klicken Sie in der oberen rechten Ecke von GitHub Enterprise Server auf Ihr Profilfoto und dann auf Unternehmenseinstellungen.

    Screenshot des Dropdownmenüs, das angezeigt wird, wenn du auf GitHub Enterprise Server auf das Profilfoto klickst. Die Option „Unternehmenseinstellungen “ ist dunkelorange umrandet.

  2. Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Einstellungen.

  3. Klicke in der linken Randleiste auf Codesicherheit und -analyse.

  4. Klicke im Abschnitt „Dependabot“ rechts neben Dependabot alerts auf Alle deaktivieren oder Alle aktivieren.

  5. Wähle optional Automatisch für neue Repositorys aktivieren aus, um Dependabot alerts standardmäßig für die neuen Repositorys deiner Organisation zu aktivieren.