Dependabot-Schadsoftwarewarnungen

          Dependabot malware alerts Helfen Sie Ihnen, Schadsoftware in Ihren Abhängigkeiten zu identifizieren, um Ihr Projekt und seine Benutzer zu schützen.

Wer kann dieses Feature verwenden?

Repositories mit Dependabot alerts aktiviert

In diesem Artikel

Software basiert häufig auf Paketen aus verschiedenen Quellen, wodurch Abhängigkeitsbeziehungen entstehen, die die Sicherheit Ihres Projekts gefährden können. Beispielsweise können schlechte Akteure schädliche Pakete verwenden, um Schadsoftwareangriffe auszuführen, Zugriff auf Ihren Code, Daten, Benutzer und Mitwirkende zu erhalten.

Um Ihr Projekt sicher zu halten, Dependabot können Sie Ihre Abhängigkeiten auf bekannte schädliche Pakete überprüfen und dann Warnungen mit vorgeschlagenen Korrekturschritten erstellen.

Wenn Dependabotmalware alerts sendet

          Dependabot sendet malware alerts, wenn ein Paket in der Standardverzweigung Ihres Repositorys als böswillig gekennzeichnet wird. Warnungen für vorhandene Abhängigkeiten werden generiert, sobald das Paket beim GitHub Advisory Database

gekennzeichnet wird.

Warnungen werden auch generiert, wenn Sie Commits pushen, die ein bekanntes schädliches Paket hinzufügen oder ein Paket auf eine bekannte schädliche Version aktualisieren.

Hinweis

Wenn das Ökosystem, der Name und die Version eines internen Pakets mit denen eines schädlichen öffentlichen Pakets übereinstimmen, Dependabot kann eine falsch positive Warnung generiert werden.

Warnungsinhalte

Wenn Dependabot eine bösartige Abhängigkeit erkennt, wird eine malware alert auf der Registerkarte Security and quality des Repositorys angezeigt. Jede Warnung enthält Folgendes:

  • Ein Link zur betroffenen Datei
  • Details zum bösartigen Paket, einschließlich paketname, betroffene Versionen und der gepatchten Version (sofern verfügbar)
  • Korrekturschritte

Verfügbarkeit

Derzeit stehen Dependabot malware alerts für Pakete im npm-Ökosystem zur Verfügung.

Warnungsbenachrichtigungen

          GitHub sendet standardmäßig E-Mail-Benachrichtigungen über neue Warnungen an Personen, die beide:
  • Sie verfügen über Schreib-, Wartungs- oder Administratorberechtigungen für ein Repository
  • Beobachten Sie das Repository und haben Sie Benachrichtigungen für Sicherheitswarnungen oder für alle Aktivitäten im Repository aktiviert?

Auf GitHub.com, können Sie das Standardverhalten außer Kraft setzen, indem Sie den Typ der Benachrichtigungen auswählen, die Sie empfangen möchten, oder Benachrichtigungen vollständig auf der Einstellungsseite für Ihre Benutzerbenachrichtigungen deaktivieren.https://github.com/settings/notifications

Wenn Sie sich Sorgen machen, dass Sie zu viele Benachrichtigungen bekommen, empfehlen wir, Dependabot auto-triage rules zu nutzen, um Warnungen mit geringem Risiko automatisch zu verwerfen. Siehe Über Auto-Triage-Regeln von Dependabot.

Einschränkungen

          Dependabot malware alerts einige Einschränkungen aufweisen:

  • Warnungen können nicht jedes Sicherheitsproblem erfassen. Überprüfen Sie Ihre Abhängigkeiten immer und halten Sie Manifest- und Sperrdateien auf dem neuesten Stand, um eine genaue Erkennung zu gewährleisten.

  • Neue Schadsoftware kann Zeit benötigen, um im GitHub Advisory Database zu erscheinen und Warnungen auszulösen.

  • Nur Empfehlungen, die von GitHub überprüft wurden, lösen Benachrichtigungen aus.

  •         Dependabot überprüft archivierte Repositorys nicht.

  • Bei GitHub Actions werden Warnungen nur für Aktionen generiert, die die semantische Versionierung verwenden, nicht für SHA-Versionierung.

            GitHub gibt niemals böswillige Abhängigkeiten für jedes Repository offen.

Nächste Schritte

Informationen zum Schutz Ihres Projekts vor böswilligen Abhängigkeiten finden Sie unter Konfigurieren von Dependabot-Schadsoftwarewarnungen.