Dependabot-Schadsoftwarewarnungen

Dependabot malware alerts helfen dir, Malware in deinen Abhängigkeiten zu erkennen, um dein Projekt und seine Benutzer zu schützen.

Wer kann dieses Feature verwenden?

Repositories mit Dependabot alerts aktiviert

In diesem Artikel

Software basiert häufig auf Paketen aus verschiedenen Quellen, wodurch Abhängigkeitsbeziehungen entstehen, die die Sicherheit Ihres Projekts gefährden können. Beispielsweise können schlechte Akteure schädliche Pakete verwenden, um Schadsoftwareangriffe auszuführen, Zugriff auf Ihren Code, Daten, Benutzer und Mitwirkende zu erhalten.

Um die Sicherheit Ihres Projekts sicherzustellen, kann Dependabot Ihre Abhängigkeiten auf bekannte schädliche Pakete überprüfen und dann Warnungen mit vorgeschlagenen Abhilfeschritten erstellen.

Wenn Dependabot sendet malware alerts

Dependabot sendet malware alerts, wenn ein Paket im Standard Branch deines Repositorys als schädlich geflaggt wird. Warnhinweise für bestehende Abhängigkeiten werden generiert , sobald das Paket in der GitHub Advisory Database.

Warnungen werden auch generiert, wenn Sie Commits pushen, die ein bekanntes schädliches Paket hinzufügen oder ein Paket auf eine bekannte schädliche Version aktualisieren.

Hinweis

Wenn das Ökosystem, der Name und die Version eines internen Pakets mit denen eines bösartigen öffentlichen Pakets übereinstimmen, kann Dependabot eine falsch positive Warnung generieren.

Warnungsinhalte

Wenn Dependabot eine schädliche Abhängigkeit erkennt, wird auf der Registerkarte " Sicherheit " des Repositorys ein malware alert angezeigt. Jede Warnung enthält Folgendes:

  • Ein Link zur betroffenen Datei
  • Details zum bösartigen Paket, einschließlich paketname, betroffene Versionen und der gepatchten Version (sofern verfügbar)
  • Korrekturschritte

Verfügbarkeit

Aktuell sind Dependabot malware alerts für Pakete in der npm Infrastruktur verfügbar.

Warnungsbenachrichtigungen

Standardmäßig sendet GitHub E-Mail-Benachrichtigungen zu neuen Warnungen an Personen, die beide:

  • Sie verfügen über Schreib-, Wartungs- oder Administratorberechtigungen für ein Repository
  • Beobachten Sie das Repository und haben Sie Benachrichtigungen für Sicherheitswarnungen oder für alle Aktivitäten im Repository aktiviert?

Auf GitHub.com kannst du das Standardverhalten überschreiben, indem du die Art der Benachrichtigungen auswählst, die du erhalten möchtest, oder die Benachrichtigungen auf der Einstellungsseite für deine Benutzerbenachrichtigungen unter https://github.com/settings/notifications ganz ausschaltest.

Wenn Sie besorgt sind, dass Sie zu viele Benachrichtigungen erhalten, empfehlen wir, Dependabot auto-triage rules zu nutzen, um Warnungen mit geringem Risiko automatisch zu verwerfen. Siehe Über Auto-Triage-Regeln von Dependabot.

Einschränkungen

Dependabot malware alerts haben einige Limits:

  • Warnungen können nicht jedes Sicherheitsproblem erfassen. Überprüfen Sie Ihre Abhängigkeiten immer und halten Sie Manifest- und Sperrdateien auf dem neuesten Stand, um eine genaue Erkennung zu gewährleisten.
  • Es kann einige Zeit dauern, bis neue Malware in der GitHub Advisory Database erscheint und Warnungen auslöst.
  • Nur Empfehlungen, die von GitHub überprüft wurden, lösen Warnungen aus.
  • Dependabot überprüft keine archivierten Repositorys.
  • Bei GitHub Actions werden Warnungen nur für Aktionen generiert, die die semantische Versionierung verwenden, nicht für SHA-Versionierung.

GitHub gibt niemals böswillige Abhängigkeiten für ein Repository öffentlich offen.

Nächste Schritte

Informationen zum Schutz Ihres Projekts vor böswilligen Abhängigkeiten finden Sie unter Konfigurieren von Dependabot-Schadsoftwarewarnungen.