Blog

Einfaches Alert-Triaging für GitHub Dependabot

Rob Bos

Aktualisiert Oktober 15, 2025

2 Minuten

Dependabot-Benachrichtigungen in GitHub sortieren

Die GitHub-Benutzeroberfläche zeigt einige hilfreiche Tipps an, mit denen Sie Ihre Dependabot-Benachrichtigungen einordnen können, was sehr hilfreich ist. Leider zeigt die Benutzeroberfläche diese Filter noch nicht in der Filterleiste an, so dass ich mir einen besseren Überblick über die Filter verschaffen wollte, die ich verwenden kann. Ich habe sie unten aufgelistet:

Zeigen Sie nur Warnungen an, wenn Ihr Code die gefährdeten Aufrufe der Abhängigkeit verwendet

Dies ist sehr hilfreich bei der Einstufung offener Warnungen. Derzeit gibt es eine begrenzte Vorschau für bestimmte Sprachen und bestimmte Paket-Ökosysteme. Ich hoffe, dass sie diese Funktion auf weitere Sprachen und Paket-Ökosysteme ausweiten werden. Anstatt sich durch alle offenen Alarme zu wühlen, bei denen Ihr Code (derzeit!) möglicherweise nicht den verwundbaren Teil des Abhängigkeitscodes aufruft, können Sie die Liste der Alarme auf die Dinge eingrenzen, die Sie sind Aufruf. Verwenden Sie diesen Filter:

is:open has:vulnerable-calls

Filter bei der automatischen Kündigung von Dependabot

Dependabot verfügt jetzt über eine neue Funktion zur automatischen Ablehnung von Alarmen mit niedrigem oder mittlerem Schweregrad. Dies ist eine großartige Möglichkeit, das Rauschen in Ihrer Alarmliste zu reduzieren, so dass Sie die wichtigen Probleme herausfiltern können. Mit diesem Filter können Sie diese Alarme herausfiltern:

is:closed resolution:auto-dismissed

Nur nach Laufzeitabhängigkeiten filtern

Dies ist eine großartige Möglichkeit, um die Entwicklungsabhängigkeiten von den Laufzeitabhängigkeiten zu trennen. Dies ist zum Beispiel der Fall, wenn Sie NPM als Paketmanager verwenden. Sie können diesen Filter verwenden, um nur die Laufzeitabhängigkeiten anzuzeigen:

is:open scope:runtime

Achten Sie darauf, dass Sie nicht versehentlich Dateien mit Entwicklungsabhängigkeiten in der Produktion veröffentlichen. Dies ist ein häufiger Fehler, der zu Sicherheitsproblemen führen kann, da sich die Dateien dann noch auf der Festplatte befinden und als Angriffsvektor genutzt werden könnten.

Filter auf verwundbare Abhängigkeiten, für die ein Patch verfügbar ist

Dies ist hilfreich, um sich auf schnelle Erfolge zu konzentrieren. Da es einen Patch gibt, der die Schwachstelle behebt, kann die Aktualisierung dieser Abhängigkeiten zu schnellen Ergebnissen führen. Sie können diesen Filter verwenden, um nur die Alarme anzuzeigen, für die ein Patch verfügbar ist:

is:open has:patch

Tags:

Verfasst von

Rob Bos

Rob has a strong focus on ALM and DevOps, automating manual tasks and helping teams deliver value to the end-user faster, using DevOps techniques. This is applied on anything Rob comes across, whether it’s an application, infrastructure, serverless or training environments. Additionally, Rob focuses on the management of production environments, including dashboarding, usage statistics for product owners and stakeholders, but also as part of the feedback loop to the developers. A lot of focus goes to GitHub and GitHub Actions, improving the security of applications and DevOps pipelines. Rob is a Trainer (Azure + GitHub), a Microsoft MVP and a LinkedIn Learning Instructor.

Unsere Ideen