Hinweis
Dein Websiteadministrator muss Dependabot updates für Ihre GitHub Enterprise Server-Instance einrichten, damit du dieses Feature verwenden kannst. Weitere Informationen findest du unter Aktivieren von Dependabot für dein Unternehmen.
Möglicherweise kannst du Dependabot updates nicht aktivieren oder deaktivieren, wenn ein Unternehmensbesitzer eine Richtlinie auf Unternehmensebene festgelegt hat. Weitere Informationen finden Sie unter Implementierung von Richtlinien zur Codesicherheit und -analyse für Ihr Unternehmen.
Verwalten von Dependabot security updates für deine Repositorys
Du kannst Dependabot security updates für alle geeigneten Repositorys deaktivieren, die zu deinem persönlichen Konto oder zu deiner Organisation gehören. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analysefeatures oder Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.
Du kannst Dependabot security updates auch für ein einzelnes Repository aktivieren oder deaktivieren.
Aktivieren oder Deaktivieren von Dependabot security updates für ein einzelnes Repository
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.
-
Klicke im Abschnitt „Security“ der Randleiste auf Code security.
-
Klicke rechts neben „Dependabot security updates“ auf Enable, um das Feature zu aktivieren, oder auf Disable, um es zu deaktivieren.
Gruppieren von Dependabot security updates in einem einzigen Pull Request
Um gruppierte Sicherheitsupdates verwenden zu können, müssen Sie zuerst die folgenden Features aktivieren:
-
**Abhängigkeitsdiagramm** Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-the-dependency-graph). -
**Dependabot alerts** Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts). -
**Dependabot security updates**. Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).
Hinweis
Wenn gruppierte Sicherheitsupdates zum ersten Mal aktiviert werden, versucht Dependabot sofort, gruppierte Pull Requests zu erstellen. Möglicherweise stellen Sie fest, dass Dependabot alte Pull Requests schließt und neue öffnet.
Sie können gruppierte Pull Requests für Dependabot security updates auf eine oder beide der folgenden Arten aktivieren.
- Um möglichst viele verfügbare Sicherheitsupdates für Verzeichnisse und pro Ökosystem zu gruppieren, aktiviere die Gruppierung in den Code security-Einstellungen für dein Repository oder über die Option „Global settings“ unter Code security für deine Organisation.
- Um die Gruppierung genauer zu steuern, z. B. das Gruppieren nach Paketname, Entwicklungs-/Produktionsabhängigkeiten, SemVer-Ebene oder in mehreren Verzeichnissen pro Ökosystem, füge der
dependabot.yml-Konfigurationsdatei in deinem Repository Konfigurationsoptionen hinzu.
Hinweis
Wenn du Gruppenregeln für Dependabot security updates in einer dependabot.yml-Datei konfiguriert hast, werden alle verfügbaren Updates nach den von dir angegebenen Regeln gruppiert. Dependabot werden nur über jene Verzeichnisse hinweg gruppiert, die nicht in Ihrem dependabot.yml konfiguriert sind, wenn die Einstellung für gruppierte Sicherheitsupdates auf Organisations- oder Repositoryebene ebenfalls aktiviert ist.
Aktivieren oder Deaktivieren von gruppierten Dependabot security updates für ein einzelnes Repository
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.
-
Klicke im Abschnitt „Security“ der Randleiste auf Code security.
-
Klicke unter „Code security“ rechts neben „Grouped security updates“ auf Enable, um das Feature zu aktivieren, oder auf Disable, um es zu deaktivieren.
Aktivieren oder Deaktivieren von gruppierten Dependabot security updates für eine Organisation
Sie können gruppierte Dependabot security updates in eine einzelne Pull Request aktivieren. Weitere Informationen finden Sie unter Konfigurieren globaler Sicherheitseinstellungen für Ihre Organisation.
Überschreiben des Standardverhaltens mit einer Konfigurationsdatei
Du kannst das Standardverhalten von Dependabot security updates außer Kraft setzen, indem du deinem Repository eine dependabot.yml-Datei hinzufügst. Mit einer dependabot.yml-Datei kannst du die Gruppierung präziser steuern und das Standardverhalten von Dependabot security updates-Einstellungen außer Kraft setzen.
Verwende die Option groups mit dem Schlüssel applies-to: security-updates, um Gruppen von Abhängigkeiten (pro Paket-Manager) zu erstellen, sodass Dependabot einen einzelnen Pull Request öffnet, um mehrere Abhängigkeiten gleichzeitig zu aktualisieren. Sie können Gruppen anhand des Paketnamens (der patterns- und exclude-patterns-Schlüssel), Abhängigkeitstyp (dependency-type-Schlüssel) und SemVer (dem update-types-Schlüssel) definieren.
Dependabot erstellt Gruppen in der Reihenfolge, in der sie in Ihrer dependabot.yml Datei angezeigt werden. Wenn ein Abhängigkeitsupdate zu mehreren Gruppen gehören könnte, wird es nur der ersten Gruppe zugewiesen, mit der es übereinstimmt.
Wenn Sie nur _Sicherheits_updates benötigen und die _Versions_updates ausschließen möchten, können Sie open-pull-requests-limit auf 0 festlegen, um Versionsupdates für ein gegebenes package-ecosystem zu verhindern.
Weitere Informationen zu den Konfigurationsoptionen, die für Sicherheitsupdates verfügbar sind, finden Sie unter Anpassen von Pull Requests für Dependabot-Sicherheitsupdates.
# Example configuration file that:
# - Has a private registry
# - Ignores lodash dependency
# - Disables version-updates
# - Defines a group by package name, for security updates for golang dependencies
version: 2
registries:
example:
type: npm-registry
url: https://example.com
token: ${{secrets.NPM_TOKEN}}
updates:
- package-ecosystem: "npm"
directory: "/src/npm-project"
schedule:
interval: "daily"
# For Lodash, ignore all updates
ignore:
- dependency-name: "lodash"
# Disable version updates for npm dependencies
open-pull-requests-limit: 0
registries:
- example
- package-ecosystem: "gomod"
groups:
golang:
applies-to: security-updates
patterns:
- "golang.org*"
# Example configuration file that:
# - Has a private registry
# - Ignores lodash dependency
# - Disables version-updates
# - Defines a group by package name, for security updates for golang dependencies
version: 2
registries:
example:
type: npm-registry
url: https://example.com
token: ${{secrets.NPM_TOKEN}}
updates:
- package-ecosystem: "npm"
directory: "/src/npm-project"
schedule:
interval: "daily"
# For Lodash, ignore all updates
ignore:
- dependency-name: "lodash"
# Disable version updates for npm dependencies
open-pull-requests-limit: 0
registries:
- example
- package-ecosystem: "gomod"
groups:
golang:
applies-to: security-updates
patterns:
- "golang.org*"
Hinweis
Damit Dependabot diese Konfiguration für Sicherheitsupdates verwenden kann, muss directory der Pfad zu den Manifestdateien sein, und es sollte kein target-branch angegeben werden.
Weiterführende Lektüre
-
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts) -
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts) -
[AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/dependency-graph-supported-package-ecosystems#supported-package-ecosystems)