# Konfigurieren von Dependabot-Sicherheitsupdates

Sie können Dependabot security updates oder manuelle Pullanforderungen verwenden, um anfällige Abhängigkeiten auf einfache Weise zu aktualisieren.

<!--Marketing-LINK: From home page "Learn more about Dependabot".-->

## Verwalten von Dependabot security updates für Ihre Repositories

Sie können Dependabot security updates für alle qualifizierten Repositories aktivieren oder deaktivieren, die sich im Besitz Ihres persönlichen Kontos oder Ihrer Organisation befinden. Weitere Informationen findest du unter [Verwalten von Sicherheits- und Analysefeatures](/de/account-and-profile/setting-up-and-managing-your-personal-account-on-github/managing-personal-account-settings/managing-security-and-analysis-settings-for-your-personal-account) oder [Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation](/de/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-security-and-analysis-settings-for-your-organization).

Sie können Dependabot security updates auch für ein einzelnes Repository aktivieren oder deaktivieren.

### Aktivieren oder Deaktivieren Dependabot security updates eines einzelnen Repositorys

1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
2. Klicke unter dem Repositorynamen auf **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-gear" aria-label="gear" role="img"><path d="M8 0a8.2 8.2 0 0 1 .701.031C9.444.095 9.99.645 10.16 1.29l.288 1.107c.018.066.079.158.212.224.231.114.454.243.668.386.123.082.233.09.299.071l1.103-.303c.644-.176 1.392.021 1.82.63.27.385.506.792.704 1.218.315.675.111 1.422-.364 1.891l-.814.806c-.049.048-.098.147-.088.294.016.257.016.515 0 .772-.01.147.038.246.088.294l.814.806c.475.469.679 1.216.364 1.891a7.977 7.977 0 0 1-.704 1.217c-.428.61-1.176.807-1.82.63l-1.102-.302c-.067-.019-.177-.011-.3.071a5.909 5.909 0 0 1-.668.386c-.133.066-.194.158-.211.224l-.29 1.106c-.168.646-.715 1.196-1.458 1.26a8.006 8.006 0 0 1-1.402 0c-.743-.064-1.289-.614-1.458-1.26l-.289-1.106c-.018-.066-.079-.158-.212-.224a5.738 5.738 0 0 1-.668-.386c-.123-.082-.233-.09-.299-.071l-1.103.303c-.644.176-1.392-.021-1.82-.63a8.12 8.12 0 0 1-.704-1.218c-.315-.675-.111-1.422.363-1.891l.815-.806c.05-.048.098-.147.088-.294a6.214 6.214 0 0 1 0-.772c.01-.147-.038-.246-.088-.294l-.815-.806C.635 6.045.431 5.298.746 4.623a7.92 7.92 0 0 1 .704-1.217c.428-.61 1.176-.807 1.82-.63l1.102.302c.067.019.177.011.3-.071.214-.143.437-.272.668-.386.133-.066.194-.158.211-.224l.29-1.106C6.009.645 6.556.095 7.299.03 7.53.01 7.764 0 8 0Zm-.571 1.525c-.036.003-.108.036-.137.146l-.289 1.105c-.147.561-.549.967-.998 1.189-.173.086-.34.183-.5.29-.417.278-.97.423-1.529.27l-1.103-.303c-.109-.03-.175.016-.195.045-.22.312-.412.644-.573.99-.014.031-.021.11.059.19l.815.806c.411.406.562.957.53 1.456a4.709 4.709 0 0 0 0 .582c.032.499-.119 1.05-.53 1.456l-.815.806c-.081.08-.073.159-.059.19.162.346.353.677.573.989.02.03.085.076.195.046l1.102-.303c.56-.153 1.113-.008 1.53.27.161.107.328.204.501.29.447.222.85.629.997 1.189l.289 1.105c.029.109.101.143.137.146a6.6 6.6 0 0 0 1.142 0c.036-.003.108-.036.137-.146l.289-1.105c.147-.561.549-.967.998-1.189.173-.086.34-.183.5-.29.417-.278.97-.423 1.529-.27l1.103.303c.109.029.175-.016.195-.045.22-.313.411-.644.573-.99.014-.031.021-.11-.059-.19l-.815-.806c-.411-.406-.562-.957-.53-1.456a4.709 4.709 0 0 0 0-.582c-.032-.499.119-1.05.53-1.456l.815-.806c.081-.08.073-.159.059-.19a6.464 6.464 0 0 0-.573-.989c-.02-.03-.085-.076-.195-.046l-1.102.303c-.56.153-1.113.008-1.53-.27a4.44 4.44 0 0 0-.501-.29c-.447-.222-.85-.629-.997-1.189l-.289-1.105c-.029-.11-.101-.143-.137-.146a6.6 6.6 0 0 0-1.142 0ZM11 8a3 3 0 1 1-6 0 3 3 0 0 1 6 0ZM9.5 8a1.5 1.5 0 1 0-3.001.001A1.5 1.5 0 0 0 9.5 8Z"></path></svg> Settings**. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-kebab-horizontal" aria-label="More" role="img"><path d="M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z"></path></svg>** die Option **Einstellungen** aus.

   ![Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.](/assets/images/help/repository/repo-actions-settings.png)
3. Klicke im Abschnitt „Security“ der Randleiste auf **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-codescan" aria-label="codescan" role="img"><path d="M8.47 4.97a.75.75 0 0 0 0 1.06L9.94 7.5 8.47 8.97a.75.75 0 1 0 1.06 1.06l2-2a.75.75 0 0 0 0-1.06l-2-2a.75.75 0 0 0-1.06 0ZM6.53 6.03a.75.75 0 0 0-1.06-1.06l-2 2a.75.75 0 0 0 0 1.06l2 2a.75.75 0 1 0 1.06-1.06L5.06 7.5l1.47-1.47Z"></path><path d="M12.246 13.307a7.501 7.501 0 1 1 1.06-1.06l2.474 2.473a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215ZM1.5 7.5a6.002 6.002 0 0 0 3.608 5.504 6.002 6.002 0 0 0 6.486-1.117.748.748 0 0 1 .292-.293A6 6 0 1 0 1.5 7.5Z"></path></svg> Advanced Security**.
4. Klicken Sie rechts neben "Dependabot Sicherheitsupdates" auf **"Aktivieren** ", um das Feature zu aktivieren oder zu **deaktivieren** .
   Bei öffentlichen Repositorys ist die Schaltfläche deaktiviert, wenn das Feature immer aktiviert ist.

## Gruppieren Dependabot security updates in einer einzelnen Pullanforderung

Um gruppierte Sicherheitsupdates verwenden zu können, müssen Sie zuerst die folgenden Features aktivieren:

* **Abhängigkeitsdiagramm** Weitere Informationen finden Sie unter [Aktivieren des Abhängigkeitsdiagramms](/de/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-the-dependency-graph).

***

```
          Dependabot alerts
          **. Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts).
```

***

```
          Dependabot security updates
          **. Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).
```

> \[!NOTE]
> Wenn gruppierte Sicherheitsupdates zum ersten Mal aktiviert werden, wird Dependabot sofort versuchen, gruppierte Pullanforderungen zu erstellen. Möglicherweise stellen Sie fest Dependabot , dass Sie alte Pullanforderungen schließen und neue öffnen.

Sie können gruppierte Pull Requests für Dependabot security updates auf eine oder beide der folgenden Arten aktivieren.

* Um möglichst viele verfügbare Sicherheitsupdates für Verzeichnisse und pro Ökosystem zu gruppieren, aktiviere die Gruppierung in den Advanced Security-Einstellungen für dein Repository oder über die Option „Global settings“ unter Advanced Security für deine Organisation.
* Um die Gruppierung genauer zu steuern, z. B. das Gruppieren nach Paketname, Entwicklungs-/Produktionsabhängigkeiten, SemVer-Ebene oder in mehreren Verzeichnissen pro Ökosystem, füge der `dependabot.yml`-Konfigurationsdatei in deinem Repository Konfigurationsoptionen hinzu.

> \[!NOTE]
> Wenn du Gruppenregeln für Dependabot security updates in einer `dependabot.yml`-Datei konfiguriert hast, werden alle verfügbaren Updates nach den von dir angegebenen Regeln gruppiert. Dependabot werden nur über jene Verzeichnisse hinweg gruppiert, die nicht in Ihrem `dependabot.yml` konfiguriert sind, wenn die Einstellung für gruppierte Sicherheitsupdates auf Organisations- oder Repositoryebene ebenfalls aktiviert ist.

### Aktivieren oder Deaktivieren von Dependabot security updates für ein einzelnes, gruppiertes Repository

1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
2. Klicke unter dem Repositorynamen auf **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-gear" aria-label="gear" role="img"><path d="M8 0a8.2 8.2 0 0 1 .701.031C9.444.095 9.99.645 10.16 1.29l.288 1.107c.018.066.079.158.212.224.231.114.454.243.668.386.123.082.233.09.299.071l1.103-.303c.644-.176 1.392.021 1.82.63.27.385.506.792.704 1.218.315.675.111 1.422-.364 1.891l-.814.806c-.049.048-.098.147-.088.294.016.257.016.515 0 .772-.01.147.038.246.088.294l.814.806c.475.469.679 1.216.364 1.891a7.977 7.977 0 0 1-.704 1.217c-.428.61-1.176.807-1.82.63l-1.102-.302c-.067-.019-.177-.011-.3.071a5.909 5.909 0 0 1-.668.386c-.133.066-.194.158-.211.224l-.29 1.106c-.168.646-.715 1.196-1.458 1.26a8.006 8.006 0 0 1-1.402 0c-.743-.064-1.289-.614-1.458-1.26l-.289-1.106c-.018-.066-.079-.158-.212-.224a5.738 5.738 0 0 1-.668-.386c-.123-.082-.233-.09-.299-.071l-1.103.303c-.644.176-1.392-.021-1.82-.63a8.12 8.12 0 0 1-.704-1.218c-.315-.675-.111-1.422.363-1.891l.815-.806c.05-.048.098-.147.088-.294a6.214 6.214 0 0 1 0-.772c.01-.147-.038-.246-.088-.294l-.815-.806C.635 6.045.431 5.298.746 4.623a7.92 7.92 0 0 1 .704-1.217c.428-.61 1.176-.807 1.82-.63l1.102.302c.067.019.177.011.3-.071.214-.143.437-.272.668-.386.133-.066.194-.158.211-.224l.29-1.106C6.009.645 6.556.095 7.299.03 7.53.01 7.764 0 8 0Zm-.571 1.525c-.036.003-.108.036-.137.146l-.289 1.105c-.147.561-.549.967-.998 1.189-.173.086-.34.183-.5.29-.417.278-.97.423-1.529.27l-1.103-.303c-.109-.03-.175.016-.195.045-.22.312-.412.644-.573.99-.014.031-.021.11.059.19l.815.806c.411.406.562.957.53 1.456a4.709 4.709 0 0 0 0 .582c.032.499-.119 1.05-.53 1.456l-.815.806c-.081.08-.073.159-.059.19.162.346.353.677.573.989.02.03.085.076.195.046l1.102-.303c.56-.153 1.113-.008 1.53.27.161.107.328.204.501.29.447.222.85.629.997 1.189l.289 1.105c.029.109.101.143.137.146a6.6 6.6 0 0 0 1.142 0c.036-.003.108-.036.137-.146l.289-1.105c.147-.561.549-.967.998-1.189.173-.086.34-.183.5-.29.417-.278.97-.423 1.529-.27l1.103.303c.109.029.175-.016.195-.045.22-.313.411-.644.573-.99.014-.031.021-.11-.059-.19l-.815-.806c-.411-.406-.562-.957-.53-1.456a4.709 4.709 0 0 0 0-.582c-.032-.499.119-1.05.53-1.456l.815-.806c.081-.08.073-.159.059-.19a6.464 6.464 0 0 0-.573-.989c-.02-.03-.085-.076-.195-.046l-1.102.303c-.56.153-1.113.008-1.53-.27a4.44 4.44 0 0 0-.501-.29c-.447-.222-.85-.629-.997-1.189l-.289-1.105c-.029-.11-.101-.143-.137-.146a6.6 6.6 0 0 0-1.142 0ZM11 8a3 3 0 1 1-6 0 3 3 0 0 1 6 0ZM9.5 8a1.5 1.5 0 1 0-3.001.001A1.5 1.5 0 0 0 9.5 8Z"></path></svg> Settings**. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-kebab-horizontal" aria-label="More" role="img"><path d="M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z"></path></svg>** die Option **Einstellungen** aus.

   ![Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.](/assets/images/help/repository/repo-actions-settings.png)
3. Klicke im Abschnitt „Security“ der Randleiste auf **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-codescan" aria-label="codescan" role="img"><path d="M8.47 4.97a.75.75 0 0 0 0 1.06L9.94 7.5 8.47 8.97a.75.75 0 1 0 1.06 1.06l2-2a.75.75 0 0 0 0-1.06l-2-2a.75.75 0 0 0-1.06 0ZM6.53 6.03a.75.75 0 0 0-1.06-1.06l-2 2a.75.75 0 0 0 0 1.06l2 2a.75.75 0 1 0 1.06-1.06L5.06 7.5l1.47-1.47Z"></path><path d="M12.246 13.307a7.501 7.501 0 1 1 1.06-1.06l2.474 2.473a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215ZM1.5 7.5a6.002 6.002 0 0 0 3.608 5.504 6.002 6.002 0 0 0 6.486-1.117.748.748 0 0 1 .292-.293A6 6 0 1 0 1.5 7.5Z"></path></svg> Advanced Security**.
4. Klicken Sie rechts neben "Gruppierte Sicherheitsupdates" auf "Dependabot**Aktivieren**", um das Feature zu aktivieren oder zu **deaktivieren**.

### Aktivieren oder Deaktivieren von gruppierten Dependabot security updates Gruppen für eine Organisation

```
           Sie können eine einzelne Pullanforderung gruppieren Dependabot security updates . Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/securing-your-organization/enabling-security-features-in-your-organization/configuring-global-security-settings-for-your-organization#grouping-dependabot-security-updates).
```

## Überschreiben des Standardverhaltens mit einer Konfigurationsdatei

Sie können das Standardverhalten Dependabot security updates außer Kraft setzen, indem Sie ihrem Repository eine `dependabot.yml` Datei hinzufügen. Mit einer `dependabot.yml` Datei können Sie die Gruppierung genauer steuern und das Standardverhalten der Dependabot security updates Einstellungen außer Kraft setzen.

Verwenden Sie die `groups` Option mit dem `applies-to: security-updates` Schlüssel, um Sätze von Abhängigkeiten (pro Paket-Manager) zu erstellen, sodass Dependabot eine einzelne Pullanforderung geöffnet wird, um mehrere Abhängigkeiten gleichzeitig zu aktualisieren. Sie können Gruppen anhand des Paketnamens (der `patterns`- und `exclude-patterns`-Schlüssel), Abhängigkeitstyp (`dependency-type`-Schlüssel) und SemVer (dem `update-types`-Schlüssel) definieren.

Dependabot erstellt Gruppen in der Reihenfolge, in der sie in Ihrer `dependabot.yml` Datei angezeigt werden. Wenn ein Abhängigkeitsupdate zu mehreren Gruppen gehören könnte, wird es nur der ersten Gruppe zugewiesen, mit der es übereinstimmt.

Wenn Sie nur \_Sicherheits\_updates benötigen und die \_Versions\_updates ausschließen möchten, können Sie `open-pull-requests-limit` auf `0` festlegen, um Versionsupdates für ein gegebenes `package-ecosystem` zu verhindern.

Weitere Informationen zu den Konfigurationsoptionen, die für Sicherheitsupdates verfügbar sind, finden Sie unter [Anpassen von Pull Requests für Dependabot-Sicherheitsupdates](/de/code-security/dependabot/dependabot-security-updates/customizing-dependabot-security-prs).

```yaml copy
# Example configuration file that:
#  - Has a private registry
#  - Ignores lodash dependency
#  - Disables version-updates
#  - Defines a group by package name, for security updates for golang dependencies

version: 2
registries:
  example:
    type: npm-registry
    url: https://example.com
    token: ${{secrets.NPM_TOKEN}}
updates:
  - package-ecosystem: "npm"
    directory: "/src/npm-project"
    schedule:
      interval: "daily"
    # For Lodash, ignore all updates
    ignore:
      - dependency-name: "lodash"
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0
    registries:
      - example
  - package-ecosystem: "gomod"
    directories:
      - "**/*"
    schedule:
      interval: "weekly"
    open-pull-requests-limit: 0
    groups:
      golang:
        applies-to: security-updates
        patterns:
          - "golang.org*"
```

> \[!NOTE]
> Damit Dependabot diese Konfiguration für Sicherheitsupdates verwenden kann, muss `directory` der Pfad zu den Manifestdateien sein (oder `directories` muss Pfade oder Globmuster enthalten, die mit den Speicherorten der Manifestdateien übereinstimmen), und Sie sollten keinen `target-branch` angeben.

## Weiterführende Lektüre

* [Informationen zu Dependabot-Warnungen](/de/code-security/dependabot/dependabot-alerts/about-dependabot-alerts)
* [Konfigurieren von Dependabot-Warnungen](/de/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts)
* [Von Abhängigkeitsdiagrammen unterstützte Paket-Ökosysteme](/de/code-security/supply-chain-security/understanding-your-software-supply-chain/dependency-graph-supported-package-ecosystems#supported-package-ecosystems)