{"meta":{"title":"Dependabot-Schadsoftwarewarnungen","intro":"Dependabot malware alerts Helfen Sie Ihnen, Schadsoftware in Ihren Abhängigkeiten zu identifizieren, um Ihr Projekt und seine Benutzer zu schützen.","product":"Sicherheit und Codequalität","breadcrumbs":[{"href":"/de/code-security","title":"Sicherheit und Codequalität"},{"href":"/de/code-security/concepts","title":"Concepts"},{"href":"/de/code-security/concepts/supply-chain-security","title":"Sicherheit der Lieferkette"},{"href":"/de/code-security/concepts/supply-chain-security/dependabot-malware-alerts","title":"Dependabot-Schadsoftwarewarnungen"}],"documentType":"article"},"body":"# Dependabot-Schadsoftwarewarnungen\n\nDependabot malware alerts Helfen Sie Ihnen, Schadsoftware in Ihren Abhängigkeiten zu identifizieren, um Ihr Projekt und seine Benutzer zu schützen.\n\nSoftware basiert häufig auf Paketen aus verschiedenen Quellen, wodurch Abhängigkeitsbeziehungen entstehen, die die Sicherheit Ihres Projekts gefährden können. Beispielsweise können schlechte Akteure schädliche Pakete verwenden, um Schadsoftwareangriffe auszuführen, Zugriff auf Ihren Code, Daten, Benutzer und Mitwirkende zu erhalten.\n\nUm Ihr Projekt sicher zu halten, Dependabot können Sie Ihre Abhängigkeiten auf bekannte schädliche Pakete überprüfen und dann Warnungen mit vorgeschlagenen Korrekturschritten erstellen.\n\n## Wenn Dependabotmalware alerts sendet\n\n```\n          Dependabot sendet malware alerts, wenn ein Paket in der Standardverzweigung Ihres Repositorys als böswillig gekennzeichnet wird. Warnungen für vorhandene Abhängigkeiten werden generiert, sobald das Paket beim GitHub Advisory Database\n```\n\ngekennzeichnet wird.\n\nWarnungen werden auch generiert, wenn Sie Commits pushen, die ein bekanntes schädliches Paket hinzufügen oder ein Paket auf eine bekannte schädliche Version aktualisieren.\n\n> \\[!NOTE]\n> Wenn das Ökosystem, der Name und die Version eines internen Pakets mit denen eines schädlichen öffentlichen Pakets übereinstimmen, Dependabot kann eine falsch positive Warnung generiert werden.\n\n## Warnungsinhalte\n\nWenn Dependabot eine bösartige Abhängigkeit erkennt, wird eine malware alert auf der Registerkarte **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security and quality** des Repositorys angezeigt. Jede Warnung enthält Folgendes:\n\n* Ein Link zur betroffenen Datei\n* Details zum bösartigen Paket, einschließlich paketname, betroffene Versionen und der gepatchten Version (sofern verfügbar)\n* Korrekturschritte\n\n## Verfügbarkeit\n\nDerzeit stehen Dependabot malware alerts für Pakete im `npm`-Ökosystem zur Verfügung.\n\n## Warnungsbenachrichtigungen\n\n```\n          GitHub sendet standardmäßig E-Mail-Benachrichtigungen über neue Warnungen an Personen, die beide:\n```\n\n* Sie verfügen über Schreib-, Wartungs- oder Administratorberechtigungen für ein Repository\n* Beobachten Sie das Repository und haben Sie Benachrichtigungen für Sicherheitswarnungen oder für alle Aktivitäten im Repository aktiviert?\n\nAuf GitHub.com, können Sie das Standardverhalten außer Kraft setzen, indem Sie den Typ der Benachrichtigungen auswählen, die Sie empfangen möchten, oder Benachrichtigungen vollständig auf der Einstellungsseite für Ihre Benutzerbenachrichtigungen deaktivieren.<https://github.com/settings/notifications>\n\nWenn Sie sich Sorgen machen, dass Sie zu viele Benachrichtigungen bekommen, empfehlen wir, Dependabot auto-triage rules zu nutzen, um Warnungen mit geringem Risiko automatisch zu verwerfen. Siehe [Über Auto-Triage-Regeln von Dependabot](/de/code-security/dependabot/dependabot-auto-triage-rules/about-dependabot-auto-triage-rules).\n\n## Einschränkungen\n\n```\n          Dependabot malware alerts einige Einschränkungen aufweisen:\n```\n\n* Warnungen können nicht jedes Sicherheitsproblem erfassen. Überprüfen Sie Ihre Abhängigkeiten immer und halten Sie Manifest- und Sperrdateien auf dem neuesten Stand, um eine genaue Erkennung zu gewährleisten.\n* Neue Schadsoftware kann Zeit benötigen, um im GitHub Advisory Database zu erscheinen und Warnungen auszulösen.\n* Nur Empfehlungen, die von GitHub überprüft wurden, lösen Benachrichtigungen aus.\n* Dependabot überprüft archivierte Repositorys nicht.\n* Bei GitHub Actions werden Warnungen nur für Aktionen generiert, die die semantische Versionierung verwenden, nicht für SHA-Versionierung.\n\n  ```\n          GitHub gibt niemals böswillige Abhängigkeiten für jedes Repository offen.\n  ```\n\n## Nächste Schritte\n\nInformationen zum Schutz Ihres Projekts vor böswilligen Abhängigkeiten finden Sie unter [Konfigurieren von Dependabot-Schadsoftwarewarnungen](/de/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/configure-malware-alerts)."}