{"meta":{"title":"Anpassen von Dependabot-Pull-Requests an deine Prozesse","intro":"Hier erfährst du, wie du deine Dependabot-Pull-Requests an deine eigenen internen Workflows anpasst.","product":"Sicherheit und Codequalität","breadcrumbs":[{"href":"/de/code-security","title":"Sicherheit und Codequalität"},{"href":"/de/code-security/tutorials","title":"Anleitungen"},{"href":"/de/code-security/tutorials/secure-your-dependencies","title":"Sichern Sie Ihre Abhängigkeiten"},{"href":"/de/code-security/tutorials/secure-your-dependencies/customizing-dependabot-prs","title":"Anpassen von Dependabot-Pull-Requests"}],"documentType":"article"},"body":"# Anpassen von Dependabot-Pull-Requests an deine Prozesse\n\nHier erfährst du, wie du deine Dependabot-Pull-Requests an deine eigenen internen Workflows anpasst.\n\nEs gibt verschiedene Möglichkeiten zum Anpassen deiner Dependabot-Pull-Requests, damit sie deinen eigenen internen Prozessen besser entsprechen.\n\nUm beispielsweise Pull Requests von Dependabot in deine CI/CD-Pipelines zu integrieren, kann Dependabot **benutzerdefinierte Bezeichnungen** auf Pull Requests anwenden, die du dann zum Auslösen von Aktionsworkflows verwenden kannst.\n\nEs gibt verschiedene Anpassungsoptionen, die alle in Kombination verwendet und pro Paketökosystem angepasst werden können.\n\n## Automatisches Hinzufügen zugewiesener Personen\n\nStandardmäßig löst Dependabot Pull Requests ohne zugewiesene Personen aus.\n\nUm Pull Requests automatisch einem bestimmten Sicherheitsteam zuzuweisen, kannst du `assignees` verwenden, um diese Werte pro Paketökosystem festzulegen.\n\nIn der folgenden `dependabot.yml`-Beispieldatei wird die npm-Konfiguration so geändert, dass alle mit Versions- und Sicherheitsupdates für npm erstellten Pull Requests Folgendes aufweisen:\n\n* Eine Person (`user-name`), die den Pull Requests automatisch zugewiesen wird\n\n```yaml copy\n# `dependabot.yml` file with\n#  assignee for all npm pull requests\n\nversion: 2\nupdates:\n  # Keep npm dependencies up to date\n  - package-ecosystem: \"npm\"\n    directory: \"/\"\n    schedule:\n      interval: \"weekly\"\n    # Raise all npm pull requests with assignees\n    assignees:\n      - \"user-name\"\n```\n\n## Automatisches Hinzufügen von Prüfenden\n\nStandardmäßig löst Dependabot Pull Requests ohne prüfende Personen aus.\n\nDamit die Sicherheitsupdates deines Projekts umgehend vom entsprechenden Team berücksichtigt werden, kannst du prüfende Personen automatisch zu Dependabot-Pull-Requests mithilfe einer CODEOWNERS-Datei hinzufügen. Weitere Informationen findest du unter [Informationen zu Code-Eigentümern](/de/repositories/managing-your-repositorys-settings-and-features/customizing-your-repository/about-code-owners).\n\n## Bezeichnen von Pull Requests mit benutzerdefinierten Bezeichnungen\n\nStandardmäßig eröffnet Dependabot Pull-Requests mit dem `dependencies` Label.\n\nDependabot wendet auch ein Ökosystem-Label, wie `java`, `npm` oder `github-actions`, auf Pull-Anfragen an. Dependabot fügt sowohl das Label `dependencies` als auch das Ökosystem-Label allen Pull-Anfragen hinzu, einschließlich Updates für einzelne Ökosysteme, um das Filtern und das Triaging zu verbessern.\n\nDependabot erstellt die Standardbezeichnungen, die für Pull Requests angewendet werden, wenn sie noch nicht im Repository vorhanden sind. Wenn Sie benutzerdefinierte Bezeichnungen anstelle der Standardwerte verwenden möchten, können Sie die `labels` Option in Ihrer `dependabot.yml` Datei pro Paketökosystem festlegen. Dadurch werden die Standardwerte überschrieben. Weitere Informationen findest du unter [Verwalten von Labels](/de/issues/using-labels-and-milestones-to-track-work/managing-labels) und [`labels`](/de/code-security/dependabot/working-with-dependabot/dependabot-options-reference#labels--).\n\nWenn SemVer-Bezeichnungen (Semantikversion) im Repository vorhanden sind, verwendet Dependabot sie auch automatisch, um den Typ des Versionsupdates (`major`, `minor` oder `patch`) anzugeben. Diese Bezeichnungen werden zusätzlich zu allen benutzerdefinierten Bezeichnungen angewendet, die Sie definieren.\n\nDu kannst `labels` verwenden, um die Standardbezeichnungen zu überschreiben und deine eigenen benutzerdefinierten Bezeichnungen pro Paketökosystem anzugeben. Das ist nützlich, wenn Sie zum Beispiel Folgendes tun möchten:\n\n* Verwenden von Bezeichnungen, um bestimmten Pull Requests eine Priorität zuzuweisen\n* Verwenden Sie Bezeichnungen, um einen anderen Workflow wie das automatische Hinzufügen der Pull Requests auf ein Projektboard auszulösen.\n\nIn der folgenden `dependabot.yml`-Beispieldatei wird die npm-Konfiguration so geändert, dass alle mit Versions- und Sicherheitsupdates für npm erstellten Pull Requests benutzerdefinierte Bezeichnungen aufweisen.\n\n```yaml copy\n# `dependabot.yml` file with\n# customized npm configuration\n\nversion: 2\nupdates:\n  # Keep npm dependencies up to date\n  - package-ecosystem: \"npm\"\n    directory: \"/\"\n    schedule:\n      interval: \"weekly\"\n    # Raise all npm pull requests with custom labels\n    labels:\n      - \"npm dependencies\"\n      - \"triage-board\"\n```\n\nDas Festlegen dieser Option wirkt sich auch auf Pull Requests für Sicherheitsupdates für die Manifestdateien dieses Paket-Managers aus, es sei denn, du verwendest `target-branch`, um nach Versionsupdates auf einer nicht standardmäßigen Verzweigung zu suchen.\n\nSiehe auch [`labels`](/de/code-security/dependabot/working-with-dependabot/dependabot-options-reference#labels--).\n\n## Hinzufügen eines Präfixes zu Commitnachrichten\n\nStandardmäßig wird von Dependabot versucht, deine Commitnachrichteneinstellungen zu erkennen und ähnliche Muster zu verwenden. Darüber hinaus befüllt Dependabot die Titel der Pull Requests basierend auf den Commitnachrichten.\n\nDu kannst für Dependabot-Commitnachrichten und Pull-Request-Titel für ein bestimmtes Paketökosystem deine eigenes Präfix angeben. Das kann beispielsweise beim Ausführen von Automatisierungen hilfreich sein, die Commitnachrichten oder die Titel von Pull Requests verarbeiten.\n\nUm deine Einstellungen explizit anzugeben, verwende `commit-message` zusammen mit den folgenden unterstützten Optionen:\n\n* `prefix`:\n  * Gibt ein Präfix für alle Commitnachrichten an.\n  * Das Präfix wird zudem am Anfang des Pull-Request-Titels hinzugefügt.\n* `prefix-development`:\n  * Gibt ein separates Präfix für alle Commit-Nachrichten an, die Entwicklungsabhängigkeiten aktualisieren, wie sie vom Paket-Manager oder Ökosystem definiert sind.\n  * Unterstützt werden `bundler`, `composer`, `mix`, `maven`, `npm` und `pip`.\n* `include: \"scope\"`:\n  * Gibt an, dass auf jedes Präfix die Abhängigkeitstypen `deps` oder `deps-dev` folgen, die im Commit aktualisiert wurden.\n\nIm folgenden Beispiel werden verschiedene Optionen veranschaulicht, die für jedes Paketökosystem angepasst sind:\n\n```yaml copy\n# Customize commit messages\n\nversion: 2\nupdates:\n  - package-ecosystem: \"npm\"\n    directory: \"/\"\n    schedule:\n      interval: \"weekly\"\n    commit-message:\n      # Prefix all commit messages with \"npm: \"\n      prefix: \"npm\"\n\n  - package-ecosystem: \"docker\"\n    directory: \"/\"\n    schedule:\n      interval: \"weekly\"\n    commit-message:\n      # Prefix all commit messages with \"[docker] \" (no colon, but a trailing whitespace)\n      prefix: \"[docker] \"\n\n  - package-ecosystem: \"composer\"\n    directory: \"/\"\n    schedule:\n      interval: \"weekly\"\n    # Prefix all commit messages with \"Composer\" plus its scope, that is, a\n    # list of updated dependencies\n    commit-message:\n      prefix: \"Composer\"\n      include: \"scope\"\n\n  - package-ecosystem: \"pip\"\n    directory: \"/\"\n    schedule:\n      interval: \"weekly\"\n    # Include a list of updated dependencies\n    # with a prefix determined by the dependency group\n    commit-message:\n      prefix: \"pip prod\"\n      prefix-development: \"pip dev\"\n```\n\nDas Festlegen dieser Option wirkt sich auch auf Pull Requests für Sicherheitsupdates für die Manifestdateien dieses Paket-Managers aus, es sei denn, du verwendest `target-branch`, um nach Versionsupdates auf einer nicht standardmäßigen Verzweigung zu suchen.\n\nSiehe auch [`commit-message`](/de/code-security/dependabot/working-with-dependabot/dependabot-options-reference#commit-message--).\n\n## Zuordnen von Pull Requests zu einem Meilenstein\n\nMeilensteine helfen dir, den Fortschritt von Gruppen von Pull Requests oder Issues zu einem Projektziel oder einem Release nachzuverfolgen. Mit Dependabot kannst du die Option `milestone` verwenden, um Pull Requests für Abhängigkeitsupdates einem bestimmten Meilenstein zuzuordnen.\n\nDu musst den numerischen Bezeichner des Meilensteins und nicht seine Bezeichnung angeben. Den numerischen Bezeichner kannst du im letzten Teil der Seiten-URL nach `milestone` finden. Beispiel: Der numerische Bezeichner des Meilensteins für `https://github.com/<org>/<repo>/milestone/3` lautet `3`.\n\n```yaml copy\n# Specify a milestone for pull requests\n\nversion: 2\nupdates:\n  - package-ecosystem: \"npm\"\n    directory: \"/\"\n    schedule:\n      interval: \"weekly\"\n    # Associate pull requests with milestone \"4\"\n    milestone: 4\n```\n\nDas Festlegen dieser Option wirkt sich auch auf Pull Requests für Sicherheitsupdates für die Manifestdateien dieses Paket-Managers aus, es sei denn, du verwendest `target-branch`, um nach Versionsupdates auf einer nicht standardmäßigen Verzweigung zu suchen.\n\nWeitere Informationen findest du außerdem unter [`milestone`](/de/code-security/dependabot/working-with-dependabot/dependabot-options-reference#milestone--) und [Informationen zu Meilensteinen](/de/issues/using-labels-and-milestones-to-track-work/about-milestones).\n\n## Ändern des Trennzeichens im Branchnamen des Pull Requests\n\nDependabot generiert einen Branch für jeden Pull Request. Jeder Branchname enthält `dependabot` sowie den Namen des Paket-Managers und die zu aktualisierenden Abhängigkeit. Standardmäßig werden diese Teile des Branchnamens durch ein `/`-Symbol wie im folgenden Beispiel getrennt:\n\n* `dependabot/npm_and_yarn/next_js/acorn-6.4.1`\n\nUm die Wartbarkeit oder Konsistenz mit Ihren vorhandenen Prozessen sicherzustellen, sollten Sie darauf achten, dass die Namen Ihrer Branches mit den bestehenden Konventionen Ihres Teams übereinstimmen. In diesem Fall kannst du `pull-request-branch-name.separator` verwenden, um ein anderes Trennzeichen wie `_`, `/` oder `\"-\"` anzugeben.\n\nIm folgenden Beispiel ändert die npm-Konfiguration das Standardtrennzeichen von `/` in `\"-\"`, damit es folgendermaßen angezeigt wird:\n\n* Standard (`/`): `dependabot/npm_and_yarn/next_js/acorn-6.4.1`\n* Angepasst (`\"-\"`): `dependabot-npm_and_yarn-next_js-acorn-6.4.1`\n\nBeachte, dass das Bindestrichsymbol (`\"-\"`) von Anführungszeichen umgeben sein muss, damit es nicht als Start einer leeren YAML-Liste interpretiert wird.\n\n```yaml copy\n# Specify a different separator for branch names\n\nversion: 2\nupdates:\n  - package-ecosystem: \"npm\"\n    directory: \"/\"\n    schedule:\n      interval: \"weekly\"\n    pull-request-branch-name:\n      # Change the default separator (/) to a hyphen (-)\n      separator: \"-\"\n```\n\nDas Festlegen dieser Option wirkt sich auch auf Pull Requests für Sicherheitsupdates für die Manifestdateien dieses Paket-Managers aus, es sei denn, du verwendest `target-branch`, um nach Versionsupdates auf einer nicht standardmäßigen Verzweigung zu suchen.\n\nSiehe auch [`pull-request-branch-name.separator`](/de/code-security/dependabot/working-with-dependabot/dependabot-options-reference#pull-request-branch-nameseparator--).\n\n## Ausrichten von Pull Requests auf einen nicht standardmäßigen Branch\n\nStandardmäßig wird von Dependabot eine Überprüfung auf Manifestdateien im Standardbranch durchgeführt. Zudem werden Pull Requests für Updates für diesen Standardbranch ausgelöst.\n\nIm Allgemeinen ist es am sinnvollsten, die Überprüfungen und Updates von Dependabot im Standardbranch beizubehalten. In manchen Fällen muss jedoch ein anderer Zielzweig angegeben werden. Beispiel: Wenn es in den Prozessen deines Teams erforderlich ist, zunächst Updates für einen Nicht-Produktionsbranch zu testen und zu überprüfen, kannst du `target-branch` verwenden, um einen anderen Branch anzugeben, den Dependabot zum Erstellen von Pull Requests verwenden soll.\n\n> \\[!NOTE]\n> Dependabot löst Pull Requests für Sicherheitsupdates **nur für den Standardbranch** aus. Wenn du `target-branch` verwendest, werden alle Konfigurationseinstellungen für diesen Paket-Manager *nur* auf Versionsupdates und nicht auf Sicherheitsupdates angewendet.\n\n```yaml copy\n# Specify a non-default branch for pull requests for pip\n\nversion: 2\nupdates:\n  - package-ecosystem: \"pip\"\n    directory: \"/\"\n    schedule:\n      interval: \"weekly\"\n    # Raise pull requests for version updates\n    # to pip against the `develop` branch\n    target-branch: \"develop\"\n    # Labels on pull requests for version updates only\n    labels:\n      - \"pip dependencies\"\n\n  - package-ecosystem: \"npm\"\n    directory: \"/\"\n    schedule:\n      interval: \"weekly\"\n      # Check for npm updates on Sundays\n      day: \"sunday\"\n    # Labels on pull requests for security and version updates\n    labels:\n      - \"npm dependencies\"\n```\n\nSiehe auch [`target-branch`](/de/code-security/dependabot/working-with-dependabot/dependabot-options-reference#target-branch-)."}