Dependabot-Fehler

Dependabot verwaltet Ihre Abhängigkeiten automatisch und sorgt dafür, dass Ihr Code sicher und aktuell bleibt. Diese Referenz hilft Ihnen beim Diagnostizieren und Beheben von Problemen, damit automatisierte Updates fortgesetzt werden können.

In diesem Artikel

Wenn bei Dependabot Fehler beim Aktualisieren Ihrer Abhängigkeiten auftreten, können Sie diese Referenz verwenden, um häufige Probleme zu diagnostizieren und zu beheben.

So zeigen Sie Fehler an

Sicherheitsupdatefehler

Wenn Dependabot daran gehindert wird, einen Pull Request zum Beheben einer Dependabot-Warnung zu erstellen, wird die Fehlermeldung in der Warnung angezeigt. Die Dependabot alerts-Ansicht zeigt eine Liste aller Warnungen an, die noch nicht behoben wurden. Für den Zugriff auf die Warnungsansicht klicke auf der Registerkarte Sicherheit für das Repository auf Dependabot alerts. Wenn ein Pull Request generiert wurde, der die anfällige Abhängigkeit korrigiert, enthält die Warnung einen Link zu diesem Pull Request.

Screenshot der Ansicht für Dependabot alerts, Rechts neben einer Warnung wird ein Link zu einem Pull Request mit dem Titel „#353“ orange dargestellt.

Eine Warnung hat aus mehreren Gründen möglicherweise keinen Pull-Anforderungslink:

  1. Dependabot security updates sind nicht für das Repository aktiviert.
  2. Die Warnung ist für eine indirekte oder transitive Abhängigkeit vorgesehen, die in einer Sperrdatei nicht explizit definiert ist.
  3. Ein Fehler hat verhindert, dass Dependabot einen Pull Request erstellt.

Klicken Sie auf die Warnung, um Fehlerdetails anzuzeigen.

Fehler beim Aktualisieren von Versionen

Wenn Dependabot daran gehindert ist, eine Pull-Anfrage zur Aktualisierung einer Abhängigkeit in einem Ökosystem zu stellen, können Sie die Jobprotokolle einsehen, um Näheres über den Fehler zu erfahren.

Auf die Auftragsprotokollliste kann über das Abhängigkeitsdiagramm eines Repositorys zugegriffen werden. Klicken Sie im Abhängigkeitsdiagramm auf die Dependabot Registerkarte, und klicken Sie dann rechts neben der betroffenen Manifestdatei auf Zuletzt verwendete Aktualisierungsaufträge.

Um die vollständigen Protokolldateien für einen bestimmten Auftrag anzuzeigen, klicken Sie rechts neben dem gewünschten Protokolleintrag auf "Protokolle anzeigen".

Screenshot der Protokolleinträge des Auftrags Dependabot für eine Manifestdatei. Eine Schaltfläche namens „View logs“ ist dunkelorange umrandet.

Weitere Informationen finden Sie unter Anzeigen von Dependabot-Auftragsprotokollen.

Fehler bei der Abhängigkeitsauflösung

DEPENDENCY kann nicht auf eine nicht anfällige Version aktualisiert werden.

          **Gilt für:** Nur Sicherheitsupdates

          **Fehlermeldung:**`Dependabot cannot update DEPENDENCY to a non-vulnerable version`

Dependabot kann keinen Pull Request erstellen, um die anfällige Abhängigkeit auf eine sichere Version zu aktualisieren, ohne andere Abhängigkeiten im Abhängigkeitsdiagramm für dieses Repository zu unterbrechen.

Jede Anwendung mit Abhängigkeiten hat ein Abhängigkeitsdiagramm, also einen gerichteten azyklischen Graph jeder Paketversion, von der die Anwendung direkt oder indirekt abhängt. Jedes Mal, wenn eine Abhängigkeit aktualisiert wird, muss dieses Diagramm aufgelöst werden, andernfalls wird die Anwendung nicht erstellt. Wenn ein Ökosystem über ein tiefes und komplexes Abhängigkeitsdiagramm verfügt, z. B. npm und RubyGems, ist es oft unmöglich, ein Upgrade für eine einzelne Abhängigkeit ohne ein Upgrade für das gesamte Ökosystem durchzuführen.

          **Auflösung:** Bleiben Sie mit den zuletzt veröffentlichten Versionen auf dem neuesten Stand, z. B. durch Aktivieren von Versionsupdates. Dadurch wird die Wahrscheinlichkeit erhöht, dass ein Sicherheitsrisiko in einer Abhängigkeit durch ein einfaches Upgrade behoben werden kann, das das Abhängigkeitsdiagramm nicht unterbricht. Weitere Informationen findest du unter [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates).

Aktualisiert Abhängigkeiten ohne Warnung

          **Gilt für:** Nur Sicherheitsupdates

          **Fehlermeldung:**`Dependabot tries to update dependencies without an alert`

Dependabot aktualisiert explizit definierte transitive Abhängigkeiten, die bei allen Ökosystemen anfällig sind. Bei npm löst Dependabot einen Pull Request aus, der auch die übergeordnete Abhängigkeit aktualisiert, wenn dies die einzige Möglichkeit ist, die transitive Abhängigkeit zu beheben.

Beispiel: Ein Projekt mit einer Abhängigkeit auf A Version ~2.0.0, die eine transitive Abhängigkeit auf B Version ~1.0.0 hat, wird in 1.0.1 aufgelöst.

my project
|
--> A (2.0.0) [~2.0.0]
       |
       --> B (1.0.1) [~1.0.0]

Wenn ein Sicherheitsrisiko für B Version <2.0.0 veröffentlicht wird und ein Patch unter 2.0.0 verfügbar ist, versucht Dependabot, B zu aktualisieren, was aber aufgrund der Einschränkung durch A nicht möglich ist, die nur niedrigere anfällige Versionen zulässt. Zum Beheben des Sicherheitsrisikos sucht Dependabot nach Updates für Abhängigkeit A, welche die Verwendung der reparierten Version B zulassen.

Dependabot generiert automatisch einen Pull Request, der sowohl die gesperrten übergeordneten als auch die untergeordneten transitiven Abhängigkeiten aktualisiert.

Die Pullanforderung für ein bereits angewendetes Update kann nicht geschlossen werden.

          **Fehlermeldung:**`Dependabot fails to close a open pull request for an update that has already been applied on the default branch`

Dependabot schließt Pull Requests für Aktualisierungen von Abhängigkeiten, sobald es feststellt, dass diese Aktualisierungen in den Standardbranch übertragen wurden. In seltenen Fällen kann die Pullanforderung jedoch erneut geöffnet bleiben.

          **Auflösung:** Wenn Sie feststellen, dass Sie eine Aktualisierung manuell an eine Abhängigkeit vorgenommen haben und dass die Pullanforderung für dasselbe Update noch geöffnet ist, können Sie einen der folgenden Befehle in einem Kommentar für die Pullanforderung verwenden:

* @dependabot recreate oder * @dependabot rebase.

Jeder Kommentar löst Dependabot aus, um zu überprüfen, ob die Abhängigkeit nicht mehr aktualisierbar oder anfällig ist. Wenn Dependabot feststellt, dass der Pull Request nicht mehr benötigt wird, schließt es der Pull Request in diesem speziellen Fall.

Weitere Informationen zu Dependabot Kommentarbefehlen finden Sie unter Verwalten von Pull Requests für Abhängigkeitsupdates.

Kann nicht auf die erforderliche Version aktualisiert werden, da bereits eine offene Pullanforderung für die neueste Version vorhanden ist.

          **Gilt für:** Nur Sicherheitsupdates

          **Fehlermeldung:**`Dependabot cannot update to the required version as there is already an open pull request for the latest version`

Dependabot erstellt keinen Pull Request, um die anfällige Abhängigkeit auf eine sichere Version zu aktualisieren, da bereits ein offener Pull Request vorhanden ist, um diese Abhängigkeit zu aktualisieren. Dieser Fehler wird angezeigt, wenn ein Sicherheitsrisiko in einer einzigen Abhängigkeit erkannt wird und bereits ein offener Pull Request vorhanden ist, um die Abhängigkeit auf die neueste Version zu aktualisieren.

          **Auflösung:** Sie können die geöffnete Pullanforderung überprüfen und zusammenführen, sobald Sie sicher sind, dass die Änderung sicher ist, oder diese Pullanforderung schließen und eine neue Pull-Update-Pullanforderung auslösen. Siehe " [Auslösen einer Dependabot-Pullanforderung manuell](#triggering-a-dependabot-pull-request-manually)".

Kein Sicherheitsupdate erforderlich

          **Gilt für:** Nur Sicherheitsupdates

          **Fehlermeldung:**`No security update is needed as DEPENDENCY is no longer vulnerable`

Dependabot können eine Pullanforderung nicht schließen, um eine Abhängigkeit zu aktualisieren, die nicht oder nicht mehr anfällig ist. Dieser Fehler wird möglicherweise angezeigt, wenn Abhängigkeitsdiagrammdaten veraltet sind oder wenn das Abhängigkeitsdiagramm und Dependabot nicht zustimmen, wenn eine bestimmte Version einer Abhängigkeit anfällig ist.

          **Auflösung:** Überprüfen Sie zunächst das Abhängigkeitsdiagramm für Ihr Repository, überprüfen Sie, welche Version sie für die Abhängigkeit erkannt hat, und überprüfen Sie, ob die identifizierte Version dem entspricht, was in Ihrem Repository verwendet wird.

Wenn Sie vermuten, dass Ihre Abhängigkeitsdiagrammdaten veraltet sind, müssen Sie möglicherweise das Abhängigkeitsdiagramm für Ihr Repository manuell aktualisieren oder Ihre Abhängigkeitsdaten weiter prüfen. Weitere Informationen findest du unter Fehler beim Abhängigkeitsdiagramm beheben.

Wenn Sie bestätigen können, dass die Abhängigkeitsversion nicht mehr anfällig ist, können Sie die Pullanforderung Dependabot schließen.

Pull-Request-Fehler

Grenzwert für Pullanforderungen erreicht

          **Fehlermeldung:**`Dependabot cannot open any more pull requests`

Es gibt ein Limit für die Anzahl der offenen Pull Requests, die von Dependabot generiert werden. Wenn dieses Limit erreicht ist, werden keine neuen Pull Requests geöffnet, und dieser Fehler wird gemeldet.

          **Grenzen:**
  • Pull Requests für Sicherheitsupdates: 10
  • Pullanforderungen für Versionsupdates: 5 (konfigurierbar mit open-pull-requests-limit)

Es gibt separate Limits für Pull Requests für Sicherheits- und Versionsupdates, sodass offene Pull Requests für Versionsupdates nicht die Erstellung eines Pull Requests für ein Sicherheitsupdate blockieren können. Weitere Informationen finden Sie unter Referenz zu Dependabot-Optionen.

          **Auflösung:** Führen Sie einige der vorhandenen Pullanforderungen zusammen oder schließen Sie sie, und lösen Sie eine neue Pullanforderung manuell aus. Siehe [Pull-Anforderung von Dependabot manuell auslösen](#triggering-a-dependabot-pull-request-manually).

Timeout- und Leistungsprobleme

Aktualisierung abgelaufen

          **Fehlermeldung:**`Dependabot timed out during its update`

Dependabot brauchte länger als die zulässige maximale Zeit, um das erforderliche Update zu bewerten und einen Pull Request vorzubereiten. Dieser Fehler wird normalerweise nur für große Repositorys mit vielen Manifestdateien angezeigt, z. B. npm- oder yarn-Monorepo-Projekte mit Hunderten von package.json-Dateien. Die Bewertung von Aktualisierungen des Composer-Ökosystems dauert auch länger, und es kann zu einem Timeout kommen.

          **Lösung für Versionsupdates:** Geben Sie die wichtigsten Abhängigkeiten an, die mit dem `allow` Parameter aktualisiert werden sollen, oder verwenden Sie alternativ den `ignore` Parameter, um einige Abhängigkeiten von Updates auszuschließen. Durch das Aktualisieren deiner Konfiguration kann Dependabot das Versionsupdate überprüfen und den Pull Request in der verfügbaren Zeit generieren.

          **Lösung für Sicherheitsupdates:** Verringern Sie die Chancen auf Timeouts, indem Sie beispielsweise die Abhängigkeiten aktualisieren, indem Sie Versionsupdates aktivieren. Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates).

Gruppierungsfehler

Fehler beim Gruppieren von Abhängigkeiten (Versionsupdates)

          **Gilt für:** Nur Versionsupdates

          **Fehlermeldung:**`Dependabot fails to group a set of dependencies into a single pull request for Dependabot version updates`

Die groups-Konfigurationseinstellungen in der dependabot.yml-Datei können für Versionsupdates und Sicherheitsupdates angewendet werden. Verwenden Sie den applies-to-Schlüssel, um anzugeben, wo (Versionsupdates oder Sicherheitsupdates) eine Gruppe von Gruppierungsregeln angewendet wird.

Sie können keinen einzelnen Gruppierungssatz von Regeln auf _Versions_updates und _Sicherheits_updates anwenden. Wenn du stattdessen sowohl Versionsaktualisierungen als auch Sicherheitsupdates mit denselben Kriterien gruppieren möchtest, musst du zwei separat benannte Gruppensätze von Regeln definieren.

Wenn Sie gruppierte Versionsupdates konfigurieren, müssen Sie Gruppen pro Paketökosystem konfigurieren.

          **Häufige Ursache - leere Gruppen:** Möglicherweise haben Sie unbeabsichtigt leere Gruppen erstellt. Dies geschieht beispielsweise, wenn du `dependency-type` im `allow`-Schlüssel für den Gesamtauftrag festlegst.
YAML
allow:
  dependency-type: production
  # this restricts the entire job to production dependencies
  groups:
      development-dependencies:
        dependency-type: "development"
        # this group will always be empty

In diesem Beispiel führt Dependabot Folgendes aus:

  1. Sieh dir die Abhängigkeitsliste an und beschränke den Auftrag auf Abhängigkeiten, die nur in production verwendet werden.
  2. Versuche, eine Gruppe namens development-dependencies zu erstellen, die eine Teilmenge dieser reduzierten Liste ist.
  3. Vergewissere dich, dass die Gruppe development-dependencies leer ist, da alle development-Abhängigkeiten in Schritt 1 entfernt wurden.
  4.           Aktualisieren Sie alle Abhängigkeiten, die noch nicht in der Gruppe enthalten sind **individuell**. Da die Gruppe für Abhängigkeiten in der Produktion leer ist, ignoriert Dependabot die Gruppe und erstellt einen separaten Pull Request für jede Abhängigkeit.

       **Auflösung:** Stellen Sie sicher, dass Konfigurationseinstellungen sich nicht gegenseitig aufheben und aktualisieren Sie diese angemessen in Ihrer Konfigurationsdatei. Um das Problem zu debuggen, schauen Sie sich die Protokolle an. Informationen zum Zugreifen auf die Protokolle für ein Manifest finden Sie unter [Anzeigen von Fehlern](#how-to-view-errors).

Weitere Informationen zum Konfigurieren von Gruppen für Dependabot version updates findest du unter Referenz zu Dependabot-Optionen.

Fehler beim Gruppieren von Abhängigkeiten (Sicherheitsupdates)

          **Gilt für:** Nur Sicherheitsupdates

          **Fehlermeldung:**`Dependabot fails to group a set of dependencies into a single pull request for Dependabot security updates`

Die groups-Konfigurationseinstellungen in der dependabot.yml-Datei können für Versionsupdates und Sicherheitsupdates angewendet werden. Verwenden Sie den applies-to-Schlüssel, um anzugeben, wo (Versionsupdates oder Sicherheitsupdates) eine Gruppe von Gruppierungsregeln angewendet wird. Überprüfen Sie, ob Sie konfiguriert haben, dass Gruppierung für Sicherheitsupdates anwendet wird. Wenn der applies-to-Schlüssel in einer Reihe von Gruppierungsregeln in Ihrer Konfiguration nicht vorhanden ist, gelten standardmäßig alle Gruppenregeln nur für Versionsupdates.

Sie können keinen einzelnen Gruppierungssatz von Regeln auf _Versions_updates und _Sicherheits_updates anwenden. Wenn du stattdessen sowohl Versionsaktualisierungen als auch Sicherheitsupdates mit denselben Kriterien gruppieren möchtest, musst du zwei separat benannte Gruppensätze von Regeln definieren.

          **Gruppierungsrichtlinien für Sicherheitsupdates:**
  • Dependabot wird Abhängigkeiten vom gleichen Paketökosystem gruppieren, die sich in verschiedenen Verzeichnissen befinden, wenn Gruppierungsregeln für Konfigurationen angegeben sind, die den directories Schlüssel verwenden.
  • Dependabot wird weitere relevante Anpassungsoptionen aus der dependabot.yml-Datei auf Pull Requests für gruppierte Sicherheitsupdates anwenden. Gruppenregeln, die in einer dependabot.yml-Datei konfiguriert sind, setzen die Einstellungen der Benutzeroberfläche außer Kraft, um gruppierte Sicherheitsupdates auf Organisationsebene oder Repositoryebene zu aktivieren oder zu deaktivieren.
  • Dependabot wird keine Abhängigkeiten aus verschiedenen Paketökosystemen zusammen gruppieren.
  • Dependabot wird keine Sicherheitsupdates werden mit Versionsupdates gruppieren.

Weitere Informationen findest du unter Informationen zu Dependabot-Sicherheitsupdates und Anpassen von Pull Requests für Dependabot-Sicherheitsupdates.

Fehler beim Aktualisieren der Abhängigkeit in gruppierter Pullanforderung

          **Fehlermeldung:**`Dependabot fails to update one of the dependencies in a grouped pull request`

Es gibt verschiedene Problembehandlungsmethoden, die du für fehlgeschlagene Versionsupdates und fehlgeschlagene Sicherheitsupdates verwenden kannst.

Versionsaktualisierungen

          **Gilt für:** Nur Versionsupdates

Dependabot zeigt die fehlgeschlagene Aktualisierung in den Protokollen und in der Auftragszusammenfassung am Ende der Protokolle an.

          **Lösung:**
  1. Verwenden Sie den @dependabot recreate Kommentar für die Pullanforderung, um die Gruppe erneut zu erstellen. Weitere Informationen findest du unter Verwalten von Pull Requests für Abhängigkeitsupdates.
  2. Wenn die Abhängigkeit immer noch nicht aktualisiert werden kann, verwenden Sie die exclude-patterns Konfiguration, damit die Abhängigkeit von der Gruppe ausgeschlossen wird. Dependabot löst daraufhin einen separaten Pull Request aus, um die Abhängigkeit zu aktualisieren.
  3. Wenn die Abhängigkeit immer noch nicht aktualisiert wird, liegt möglicherweise ein Problem mit der Abhängigkeit selbst oder mit Dependabot für dieses spezielle Ökosystem vor.

Wenn Sie Updates für die Abhängigkeit ignorieren möchten, müssen Sie eine der folgenden Aktionen ausführen.

Sicherheitsupdates

          **Gilt für:** Nur Sicherheitsupdates

Wenn eine gruppierte Pull-Anforderung für Sicherheitsupdates fehlschlägt oder nicht zusammengeführt werden kann, öffnen Sie Pull-Requests manuell, um die Versionen von inkompatiblen Änderungen zu aktualisieren. Wenn Sie ein Paket, das in einem gruppierten Pull Request enthalten ist, manuell aktualisieren, werden Dependabot den Pull Request neu zuordnen, sodass er das manuell aktualisierte Paket nicht enthält.

Wenn Sie Updates für die Abhängigkeit ignorieren möchten, müssen Sie eine der folgenden Aktionen ausführen.

Kontinuierliche Integration schlägt bei gruppierter Pullanforderung fehl

          **Gilt für:** Nur Versionsupdates

          **Fehlermeldung:**`Continuous integration (CI) fails on my grouped pull request`

          **Lösung:**

Wenn der Fehler auf eine einzelne Abhängigkeit zurückzuführen ist, verwenden Sie die exclude-patterns Konfiguration, damit die Abhängigkeit von der Gruppe ausgeschlossen wird. Dependabot löst daraufhin einen separaten Pull Request aus, um die Abhängigkeit zu aktualisieren.

Wenn Sie Updates für die Abhängigkeit ignorieren möchten, müssen Sie eine der folgenden Aktionen ausführen.

Wenn weiterhin CI-Fehler angezeigt werden, entfernen Sie die Gruppenkonfiguration, sodass Dependabot wieder einzelne Pull-Anfragen für jede Abhängigkeit auslöst. Überprüfen Und bestätigen Sie dann, dass das Update für jede einzelne Pullanforderung ordnungsgemäß funktioniert.

Authentifizierungs- und Registrierungsfehler

Es können keine Abhängigkeiten aufgelöst oder auf diese zugegriffen werden.

          **Fehlermeldung:**`Dependabot can't resolve your LANGUAGE dependency files`

          **API-Fehlertyp:**`git_dependencies_not_reachable`

Wenn Dependabot versucht, zu überprüfen, ob Abhängigkeitsverweise in einem Repository aktualisiert werden müssen, aber nicht auf eine oder mehrere der referenzierten Dateien zugreifen können, schlägt der Vorgang fehl.

Fehler bei der Registrierung privater Pakete

Dependabot kann einen der folgenden Fehler generieren, wenn sie nicht auf eine private Paketregistrierung zugreifen kann:

FehlermeldungAPI-Fehlertyp
"Dependabot kann nicht auf eine Abhängigkeit in einer privaten Paket-Registry zugreifen"private_source_not_reachable
"Dependabot kann sich nicht bei einer privaten Paketregistrierung authentifizieren"private_source_authentication_failure
"Dependabot hat einen Timeout während des Wartens auf eine privaten Paket-Registry"private_source_timed_out
"Dependabot konnte das Zertifikat für eine private Paketregistrierung nicht überprüfen"private_source_certificate_failure
          **Auflösung:** Stellen Sie sicher, dass alle referenzierten Abhängigkeiten an barrierefreien Speicherorten gehostet werden.

          **Versionsupdate nur:** Bei der Durchführung von Sicherheits- oder Versionsupdates müssen einige Ökosysteme in der Lage sein, alle Abhängigkeiten von der jeweiligen Quelle aufzulösen, um zu überprüfen, ob die Updates erfolgreich waren. Wenn deine Manifest- oder Sperrdateien private Abhängigkeiten enthalten, muss Dependabot auf den Speicherort zugreifen können, an dem diese Abhängigkeiten gehostet werden. Organisationsbesitzer können Dependabot Zugriff auf private Repositorys gewähren, die Abhängigkeiten für ein Projekt innerhalb derselben Organisation enthalten. Weitere Informationen finden Sie unter [AUTOTITLE](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-security-and-analysis-settings-for-your-organization#allowing-dependabot-to-access-private-or-internal-dependencies). Du kannst den Zugriff auf private Registrierungen in der Konfigurationsdatei `dependabot.yml` eines Repositorys konfigurieren. Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/dependabot/working-with-dependabot/configuring-access-to-private-registries-for-dependabot). Außerdem unterstützt Dependabot keine privaten GitHub Abhängigkeiten für alle Paketmanager. Weitere Informationen findest du unter [AUTOTITLE](/code-security/dependabot/ecosystems-supported-by-dependabot/supported-ecosystems-and-repositories).

Manuelles Auslösen eines Dependabot-Pull Requests

Wenn du die Blockierung von Dependabot aufhebst, kannst du einen neuen Versuch zum Erstellen eines Pull Requests manuell auslösen.

          **Für Sicherheitsupdates:** Zeigen Sie die Dependabot Warnung an, die den fehler anzeigt, den Sie behoben haben, und klicken Sie auf **Dependabot Sicherheitsupdate** erstellen.

          **Für Versionsupdates:** Klicken Sie auf der Registerkarte **"Insights"** für das Repository auf "**Abhängigkeitsdiagramm**", und klicken Sie dann auf die Registerkarte **Dependabot**. Klicken Sie auf "**Zuletzt überprüft vor _ZEIT_**", um die Protokolldatei anzuzeigen, die Dependabot während der letzten Überprüfung auf Versionsupdates generiert hat. Klicke auf **Nach Updates suchen**.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/troubleshooting-the-dependency-graph)

  •         [AUTOTITLE](/code-security/reference/supply-chain-security/troubleshoot-dependabot/vulnerable-dependency-detection)