{"meta":{"title":"Automatisieren von Dependabot mit GitHub Actions","intro":"Beispiele für die Verwendung von GitHub Actions zum Automatisieren allgemeiner Dependabot-bezogener Aufgaben.","product":"Sicherheit und Codequalität","breadcrumbs":[{"href":"/de/code-security","title":"Sicherheit und Codequalität"},{"href":"/de/code-security/tutorials","title":"Anleitungen"},{"href":"/de/code-security/tutorials/secure-your-dependencies","title":"Sichern Sie Ihre Abhängigkeiten"},{"href":"/de/code-security/tutorials/secure-your-dependencies/automating-dependabot-with-github-actions","title":"Verwenden von Dependabot mit Actions"}],"documentType":"article"},"body":"# Automatisieren von Dependabot mit GitHub Actions\n\nBeispiele für die Verwendung von GitHub Actions zum Automatisieren allgemeiner Dependabot-bezogener Aufgaben.\n\n> \\[!NOTE] In diesem Artikel wird erläutert, wie Dependabot-bezogene Aufgaben mit GitHub Actions automatisiert werden können. Weitere Informationen zum Ausführen von Dependabot updates mit GitHub Actions findest du stattdessen unter [Informationen zu Dependabot über GitHub Actions-Runner](/de/code-security/dependabot/working-with-dependabot/about-dependabot-on-github-actions-runners).\n\nDu kannst GitHub Actions verwenden, um automatisierte Aufgaben auszuführen, wenn Dependabot Pull-Requests zur Aktualisierung von Abhängigkeiten erstellt. Dies kann hilfreich sein, wenn deine Pläne wie folgt aussehen:\n\n* Stelle sicher, dass Dependabot Pull Requests (Versions- und Sicherheitsupdates) mit den richtigen Daten für deine Arbeitsprozesse erstellt werden, einschließlich Bezeichnungen und Namen.\n\n* Auslösen von Workflows, um Pull Requests von Dependabot (Versionsupdates und Sicherheitsupdates) in deinen Überprüfungsprozess zu senden oder damit sie automatisch gemergt werden\n\n## Informationen zu Dependabot und GitHub Actions\n\n> \\[!IMPORTANT]\n> Wenn Dependabot für ein Repository aktiviert ist, wird es immer in GitHub Actions ausgeführt, **wobei die Actions-Richtlinienüberprüfungen und -Deaktivierung auf Repository- oder Organisationsebene umgangen werden**. Dadurch wird sichergestellt, dass Workflows für Sicherheits- und Versionsupdates immer ausgeführt werden, wenn Dependabot aktiviert ist.\n\nDependabot erstellt Pull Requests, um deine Abhängigkeiten auf dem neuesten Stand zu halten. Du kannst GitHub Actions verwenden, um automatisierte Aufgaben auszuführen, wenn diese Pull-Requests erstellt werden. Du kannst zum Beispiel zusätzliche Artefakte abrufen, Bezeichnungen hinzufügen, Tests ausführen oder den Pull-Request anderweitig verändern.\n\nVon Dependabot können GitHub Actions-Workflows in den zugehörigen Pull Requests und Kommentaren ausgelöst werden. Bestimmte Ereignisse werden jedoch anders behandelt. Weitere Informationen findest du unter [Problembehandlung für Dependabot auf GitHub Actions](/de/code-security/dependabot/troubleshooting-dependabot/troubleshooting-dependabot-on-github-actions).\n\nHier sind einige gängige Szenarien für Pull-Requests, die mit GitHub Actions automatisiert werden können.\n\n## Abrufen von Metadaten über eine Pull-Request-Anfrage\n\nFür die meisten Automatisierungen brauchst du Informationen über den Inhalt der Pull-Request: den Namen der Abhängigkeit, ob es sich um eine Produktionsabhängigkeit handelt und ob es sich um ein Major-, Minor- oder Patching-Update handelt. Mit einer Aktion kannst du Informationen über die Abhängigkeiten abrufen, die durch einen von Dependabot generierten Pull-Request aktualisiert werden.\n\nBeispiel:\n\n```yaml copy\n# Dieser Workflow verwendet Aktionen, die nicht von GitHub zertifiziert sind.\n# Sie werden von einem Drittanbieter bereitgestellt und unterliegen\n# separaten Nutzungsbedingungen, Datenschutzbestimmungen und Support\n# Onlinedokumentation.\nname: Dependabot fetch metadata\non: pull_request\n\npermissions:\n  pull-requests: write\n  issues: write\n\njobs:\n  dependabot:\n    runs-on: ubuntu-latest\n    if: github.event.pull_request.user.login == 'dependabot[bot]' && github.repository == 'owner/my_repo'\n    steps:\n      - name: Dependabot metadata\n        id: metadata\n        uses: dependabot/fetch-metadata@d7267f607e9d3fb96fc2fbe83e0af444713e90b7\n        with:\n          github-token: \"${{ secrets.GITHUB_TOKEN }}\"\n      # The following properties are now available:\n      #  - steps.metadata.outputs.dependency-names\n      #  - steps.metadata.outputs.dependency-type\n      #  - steps.metadata.outputs.update-type\n```\n\nWeitere Informationen findest du unter dem [`dependabot/fetch-metadata`](https://github.com/dependabot/fetch-metadata) Repository.\n\n## Kennzeichnung eines Pull-Requests\n\nWenn du andere Automatisierungs- oder Sichtung-Workflows hast, die auf GitHub Kennzeichnungen basieren, kannst du eine Aktion konfigurieren, die Kennzeichnungen auf der Grundlage der bereitgestellten Metadaten zuweist.\n\nBeispiel, das alle Aktualisierungen von Abhängigkeiten in der Produktion mit einem Flag kennzeichnet:\n\n```yaml copy\n# Dieser Workflow verwendet Aktionen, die nicht von GitHub zertifiziert sind.\n# Sie werden von einem Drittanbieter bereitgestellt und unterliegen\n# separaten Nutzungsbedingungen, Datenschutzbestimmungen und Support\n# Onlinedokumentation.\nname: Dependabot auto-label\non: pull_request\n\npermissions:\n  pull-requests: write\n  issues: write\n\njobs:\n  dependabot:\n    runs-on: ubuntu-latest\n    if: github.event.pull_request.user.login == 'dependabot[bot]' && github.repository == 'owner/my_repo'\n    steps:\n      - name: Dependabot metadata\n        id: metadata\n        uses: dependabot/fetch-metadata@d7267f607e9d3fb96fc2fbe83e0af444713e90b7\n        with:\n          github-token: \"${{ secrets.GITHUB_TOKEN }}\"\n      - name: Add a label for all production dependencies\n        if: steps.metadata.outputs.dependency-type == 'direct:production'\n        run: gh pr edit \"$PR_URL\" --add-label \"production\"\n        env:\n          PR_URL: ${{github.event.pull_request.html_url}}\n```\n\n## Automatisches Genehmigen eines Pull-Requests\n\nDu kannst Dependabot Pull-Requests automatisch genehmigen, indem du den GitHub CLI in einem Workflow verwendest.\n\nBeispiel:\n\n```yaml copy\n# Dieser Workflow verwendet Aktionen, die nicht von GitHub zertifiziert sind.\n# Sie werden von einem Drittanbieter bereitgestellt und unterliegen\n# separaten Nutzungsbedingungen, Datenschutzbestimmungen und Support\n# Onlinedokumentation.\nname: Dependabot auto-approve\non: pull_request\n\npermissions:\n  pull-requests: write\n\njobs:\n  dependabot:\n    runs-on: ubuntu-latest\n    if: github.event.pull_request.user.login == 'dependabot[bot]' && github.repository == 'owner/my_repo'\n    steps:\n      - name: Dependabot metadata\n        id: metadata\n        uses: dependabot/fetch-metadata@d7267f607e9d3fb96fc2fbe83e0af444713e90b7\n        with:\n          github-token: \"${{ secrets.GITHUB_TOKEN }}\"\n      - name: Approve a PR\n        run: gh pr review --approve \"$PR_URL\"\n        env:\n          PR_URL: ${{github.event.pull_request.html_url}}\n          GH_TOKEN: ${{secrets.GITHUB_TOKEN}}\n```\n\n## Automerge für eine Pull-Request-Anfrage aktivieren\n\nWenn du Maintainern die Möglichkeit bieten willst, bestimmte Pull-Requests für den Automerge zu markieren, kannst du die Automerge-Funktion von GitHub nutzen. Dadurch kann der Pull Request zusammengeführt werden, wenn Tests und Genehmigungen der Regeln für den Schutz von Branches erfolgreich erfüllt werden.\n\nWeitere Informationen findest du unter [Automatisches Zusammenführen eines Pull Requests](/de/pull-requests/collaborating-with-pull-requests/incorporating-changes-from-a-pull-request/automatically-merging-a-pull-request) und [Verwalten einer Branchschutzregel](/de/repositories/configuring-branches-and-merges-in-your-repository/managing-protected-branches/managing-a-branch-protection-rule).\n\nDu kannst stattdessen GitHub Actions und die GitHub CLI verwenden. Hier ist ein Beispiel, das alle Patch-Updates automatisch nach `my-dependency` zusammenführt:\n\n```yaml copy\n# Dieser Workflow verwendet Aktionen, die nicht von GitHub zertifiziert sind.\n# Sie werden von einem Drittanbieter bereitgestellt und unterliegen\n# separaten Nutzungsbedingungen, Datenschutzbestimmungen und Support\n# Onlinedokumentation.\nname: Dependabot auto-merge\non: pull_request\n\npermissions:\n  contents: write\n  pull-requests: write\n\njobs:\n  dependabot:\n    runs-on: ubuntu-latest\n    if: github.event.pull_request.user.login == 'dependabot[bot]' && github.repository == 'owner/my_repo'\n    steps:\n      - name: Dependabot metadata\n        id: metadata\n        uses: dependabot/fetch-metadata@d7267f607e9d3fb96fc2fbe83e0af444713e90b7\n        with:\n          github-token: \"${{ secrets.GITHUB_TOKEN }}\"\n      - name: Enable auto-merge for Dependabot PRs\n        if: contains(steps.metadata.outputs.dependency-names, 'my-dependency') && steps.metadata.outputs.update-type == 'version-update:semver-patch'\n        run: gh pr merge --auto --merge \"$PR_URL\"\n        env:\n          PR_URL: ${{github.event.pull_request.html_url}}\n          GH_TOKEN: ${{secrets.GITHUB_TOKEN}}\n```\n\n> \\[!NOTE]\n> Wenn du Statusprüfungen zum Testen von Pull-Requests verwendest, solltest du für Dependabot Pull-Requests für den Ziel Branch die Option **Require status checks to pass before merging** aktivieren. Diese Branch-Schutzregel stellt sicher, dass Pull-Requests nur dann zusammengeführt werden, wenn **alle erforderlichen Statusprüfungen bestanden wurden**. Weitere Informationen finden Sie unter [Verwalten einer Branchschutzregel](/de/repositories/configuring-branches-and-merges-in-your-repository/managing-protected-branches/managing-a-branch-protection-rule).\n\n## Dependabot- und GitHub Actions-Richtlinien\n\nOb ein Workflow in einem Repository ausgeführt werden kann, hängt normalerweise von GitHub Actions-**Richtlinienüberprüfungen** und davon ab, ob GitHub Actions auf Organisationsebene **aktiviert** ist. Diese Kontrollen können die Ausführung von Workflows einschränken, insbesondere wenn externe Aktionen blockiert werden oder GitHub Actions vollständig deaktiviert ist.\n\nWenn Dependabot jedoch für ein Repository aktiviert ist, werden dessen Workflows immer in GitHub Actions ausgeführt, **wobei die Actions-Richtlinienüberprüfungen und -Deaktivierung umgangen wird**.\n\n* Dependabot-Workflows werden nicht durch die Actions-Deaktivierung oder Unternehmensrichtlinieneinschränkungen blockiert.\n* Die Aktionen, auf die in diesen Workflows verwiesen wird, können auch ausgeführt werden, auch wenn externe Aktionen nicht zulässig sind.\n\nWeitere Informationen findest du unter [Informationen zu Dependabot über GitHub Actions-Runner](/de/code-security/dependabot/working-with-dependabot/about-dependabot-on-github-actions-runners).\n\n## Untersuchen fehlgeschlagener Workflowausführungen\n\nÜberprüfe Folgendes, wenn die Workflowausführung fehlschlägt:\n\n* Du führst den Workflow nur aus, wenn er vom richtigen Akteur ausgelöst wird.\n* Du checkst den richtigen `ref` für den `pull_request` aus.\n* Die Geheimnisse sind in Dependabot-Geheimnissen und nicht als GitHub Actions-Geheimnisse verfügbar.\n* Du verfügst über ein `GITHUB_TOKEN` mit den richtigen Berechtigungen.\n\nInformationen zum Schreiben und Debuggen von GitHub Actions findest du unter [Schreiben von Workflows](/de/actions/learn-github-actions).\n\nWeitere Tipps zum Lösen von Problemen mit Workflows findest du unter [Problembehandlung für Dependabot auf GitHub Actions](/de/code-security/dependabot/troubleshooting-dependabot/troubleshooting-dependabot-on-github-actions)."}