Verwenden von Warnungsregeln zum Priorisieren von Dependabot-Warnungen

In diesem Artikel

Du kannst Dependabot-Warnungsregeln verwenden, um falsch positive Warnungen oder Warnungen herauszufiltern, die dich nicht interessieren.

Wer kann dieses Feature verwenden?

People with write permissions to a private repository can enable or disable Dependabot alert rules for the repository.

Informationen zu Dependabot-Warnungsregeln

Hinweis: Mit GitHub kuratierte Dependabot-Warnungsregeln befinden sich derzeit in der Betaphase und können sich noch ändern.

Mit Dependabot-Warnungsregeln kannst du Dependabot anweisen, bestimmte Warnungen basierend auf einer komplexen Logik aus einer Vielzahl kontextbezogener Kriterien automatisch zu schließen oder erneut zu öffnen.

Wenn diese Einstellung aktiviert ist, schließt die integrierte Dismiss low impact alerts-Regel automatisch bestimmte Arten von Sicherheitsrisiken, die in npm-Abhängigkeiten gefunden werden, die in der Entwicklung verwendet werden. Diese Warnungen decken Fälle ab, die sich für die meisten Entwickler*innen so wie die damit verbundenen Sicherheitsrisiken wie Fehlalarme anfühlen:

  • Sind eher nicht in einer Entwicklerumgebung (nicht in der Produktion oder Runtime) ausnutzbar
  • Können sich auf Probleme bei der Ressourcenverwaltung, Programmierung und Logik sowie auf Probleme mit der Veröffentlichung von Informationen beziehen
  • Haben im schlimmsten Fall begrenzte Auswirkungen wie langsame Builds oder zeitintensive Tests
  • Sind kein Hinweis auf Probleme in der Produktion

Diese von GitHub kuratierte Dismiss low impact alerts-Regel schließt Sicherheitsrisiken mit ein, die sich auf die Ressourcenverwaltung, die Programmierung und Logik sowie auf Probleme mit der Veröffentlichung von Informationen beziehen. Weitere Informationen findest du unter Öffentlich offengelegte CWEs, die von der Regel „Warnungen mit geringer Auswirkung verwerfen“ verwendet werden.

Durch das Herausfiltern dieser Warnungen mit geringen Auswirkungen kannst du dich auf Warnungen konzentrieren, die für dich wichtig sind, ohne dich sorgen zu müssen, dass potenziell risikoreiche entwicklungsbezogene Warnungen fehlen.

Hinweis: Die automatische Einstellung von Entwicklungswarnungen mit geringen Auswirkungen wird derzeit nur für npm unterstützt.

Obwohl es vielleicht nützlich erscheint, Warnungen mit niedrigen Auswirkungen automatisch zu schließen, kannst du dennoch automatisch geschlossene Warnungen erneut öffnen und danach filtern, welche Warnungen automatisch geschlossen wurden. Weitere Informationen findest du unter Verwalten automatisch geschlossener Warnungen.

Darüber hinaus stehen automatisch geschlossene Warnungen weiterhin für Berichte und Überprüfungen zur Verfügung und können erneut als nicht geschlossen eingegliedert werden, wenn sich die Warnungsmetadaten ändern, z. B.:

  • Wenn du den Bereich einer Abhängigkeit von der Entwicklung in die Produktion änderst.
  • Wenn GitHub bestimmte Metadaten für die entsprechende Empfehlung ändert.

Automatisch verworfene Warnungen werden durch den Grund für die Schließung resolution:auto-dismiss definiert. Die Aktivität der automatischen Schließung ist in Warnungswebhooks, REST- und GraphQL-APIs sowie im Überwachungsprotokoll enthalten. Weitere Informationen findest du unter Dependabot alerts in der REST-API-Dokumentation und im Abschnitt repository_vulnerability_alert in Überprüfen des Überwachungsprotokolls für deine Organisation.

Standardmäßig sind von GitHub kuratierte Dependabot-Warnungsregeln für öffentliche Repositorys aktiviert und für private Repositorys deaktiviert. Administrator*innen privater Repositorys können dies abonnieren, indem sie Warnungsregeln für ihr Repository aktivieren. Weitere Informationen findest du unter Aktivieren von Dependabot-Warnungsregeln für dein privates Repository.

Aktivieren von Dependabot-Warnungsregeln für dein privates Repository

Zuerst musst du Dependabot alerts für das Repository aktivieren. Weitere Informationen findest du unter Konfigurieren von Dependabot-Warnungen.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.
  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus. Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.
  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.
  4. Klicke unter Dependabot alerts auf Warnungen mit geringer Auswirkung schließen. Screenshot der Seite „Codesicherheit und -analyse“ für ein Repository. Die Option „Warnungen mit geringer Auswirkung schließen“ ist mit einer orangefarbenen Kontur hervorgehoben.

Verwalten automatisch geschlossener Warnungen

Du kannst filtern, um zu sehen, welche Warnungen automatisch geschlossen wurden, und du kannst geschlossene Warnungen erneut öffnen.

Hinweis: Auf der Seite Dependabot alerts werden standardmäßig geöffnete Warnungen angezeigt. Um automatisch geschlossene Warnungen zu filtern und anzuzeigen, musst du zuerst den is:open-Standardfilter aus der Ansicht löschen.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus. Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Um zu filtern, um alle geschlossenen Warnungen anzuzeigen, klicke auf Geschlossen. Alternativ kannst du die is:closed-Filterabfrage in der Suchleiste verwenden.

    Screenshot der Seite „Dependabot-Warnungen“. Eine Schaltfläche mit der Beschriftung „Geschlossen“ ist orange umrandet.

  4. Um alle automatisch geschlossenen Warnungen anzuzeigen, wähle Geschlossen als aus, und klicke dann im Dropdownmenü auf Automatisch geschlossen.

    Screenshot der Seite „Dependabot-Warnungen“. Eine Schaltfläche mit der Beschriftung „Geschlossen als“ ist orange umrandet.

  5. Um eine automatisch geschlossene Warnung erneut zu öffnen, klicke links neben dem Warnungstitel auf das Kontrollkästchen neben der Warnung, und klicke dann auf Erneut öffnen.

    Screenshot eines Warnungstitels auf der Seite „Dependabot-Warnungen“. Links neben der Warnung ist ein Kontrollkästchen mit einer orangefarbenen Umrandung hervorgehoben.

Öffentlich zugänglich gemachte CWEs, die von der Regel „Warnungen mit geringer Auswirkung schließen“ verwendet werden

Zusammen mit den Warnungsmetadaten ecosystem:npm und scope:development verwenden wir die folgenden von GitHub kuratierten Common Weakness Enumerations (CWEs), um Warnungen mit geringen Auswirkungen für die Dismiss low impact alerts-Regel herauszufiltern. Wir verbessern regelmäßig diese Liste und sicherheitsrelevanten Muster, die von integrierten Regeln abgedeckt werden.

Ressourcenverwaltungsprobleme

  • CWE-400 Unkontrollierter Ressourcenverbrauch
  • CWE-770 Zuteilung von Ressourcen ohne Einschränkungen oder Drosselung
  • CWE-409 Unsachgemäßer Umgang von hoch komprimierten Daten (Datenverstärkung)
  • CWE-908 Verwendung nicht initialisierter Ressourcen
  • CWE-1333 Ineffiziente Komplexität regulärer Ausdrücke
  • CWE-835-Schleife mit nicht erreichbarer Beendigungsbedingung („Endlosschleife“)
  • CWE-674 Unkontrollierte Rekursion
  • CWE-1119 Übermäßiger Einsatz von bedingungslosem Branching

Programmierfehler und logische Fehler

  • CWE-185 Falscher regulärer Ausdruck
  • CWE-754 Unsachgemäße Überprüfung auf ungewöhnliche oder außergewöhnliche Ausnahmebedingungen
  • CWE-755 Unsachgemäßer Umgang von außergewöhnlichen Bedingungen
  • CWE-248 Nicht abgefangene Ausnahme
  • CWE-252 Nicht überprüfter Rückgabewert
  • CWE-391 Nicht überprüfte Fehlerbedingung
  • CWE-696 Falsche Verhaltensreihenfolge
  • CWE-1254 Falsche Vergleichslogikgranularität
  • CWE-665 Unsachgemäße Initialisierung
  • CWE-703 Unsachgemäße Überprüfung oder Behandlung außergewöhnlicher Bedingungen
  • CWE-178 Unsachgemäße Behandlung der Groß-/Kleinschreibung

Probleme bei der Veröffentlichung von Informationen

  • CWE-544 Fehlender standardisierter Fehlerbehandlungsmechanismus
  • CWE-377 Unsichere temporäre Datei
  • CWE-451 Benutzeroberfläche (UI): Fehlerhafte Darstellung wichtiger Informationen
  • CWE-668 Offenlegung der Ressource in falscher Sphäre