Verwaltung der Abhängigkeitssicherheit

Sie können Ihr eigenes Regeln für die automatische Triage erstellen, um zu steuern, welche Warnungen ignoriert oder verschoben werden, und für welche Warnungen Sie Pull Requests öffnen möchten Dependabot.

Konzentrieren Sie sich auf Warnungen, die wichtig sind, indem Sie Entwicklungswarnungen mit geringen Auswirkungen für npm-Abhängigkeiten automatisch ignorieren.

Hier erfahren Sie, wie Sie Pull Requests von Dependabot an Sicherheitsupdates anpasst, um diese auf die Sicherheitsprioritäten und Workflows Ihres Projekts auszurichten.

Erfahren Sie, wie Sie Ihre dependabot.yml Datei so konfigurieren, dass Dependabot die von Ihnen angegebenen Pakete automatisch aktualisiert werden, wie Sie sie definieren.

Sie können mit Abhängigkeitsüberprüfungsaktion Schwachstellen erkennen, bevor sie in Ihr Projekt gelangen.

Optimieren Sie, wie Sie Benachrichtigungen zu Dependabot alertserhalten.

Sie können Dependabot so konfigurieren, dass auf in privaten Registrys gespeicherte Abhängigkeiten zugegriffen wird. Sie können Authentifizierungsinformationen wie Kennwörter und Zugriffstoken als verschlüsselte geheime Schlüssel speichern und diese dann in der Dependabot Konfigurationsdatei referenzieren. Wenn Sie über Registries in privaten Netzwerken verfügen, können Sie auch den Zugriff konfigurieren, wenn Sie Dependabot auf selbst-gehosteten Runnern ausführen.

Beispiele dafür, wie Sie so konfigurieren Dependabot können, dass nur auf private Registrierungen zugegriffen werden kann, indem Sie Anrufe an öffentliche Register entfernen.

Sie verwalten von Dependabot erstellte Pull Requests weitgehend genauso wie andere Pull Requests, aber es gibt einige zusätzliche Optionen.

Aktivieren Sie % data variables.product.prodname_dependabot %} für auf GitHub gehostete Runner, um Dependabot-Auftragsfehler einfacher zu identifizieren und fehlerhafte Ausführungen manuell zu erkennen und zu korrigieren.

Sie können selbst gehostete Runner konfigurieren, die Dependabot für den Zugriff auf Ihre privaten Registrierungen und internen Netzwerkressourcen verwenden.

Beheben Sie Ausführungsfehler, und aktualisieren Sie Ihre Abhängigkeiten manuell, indem Sie Aufträge erneut ausführen Dependabot .

Sie können die Abhängigkeiten anzeigen, die von Dependabot auf Updates überwacht werden.

Dieser Artikel enthält ausführliche Informationen zum Konfigurieren privater Registrierungen sowie Befehle, die Sie über die Befehlszeile ausführen können, um Ihre Paket-Manager lokal zu konfigurieren.