About notifications for Dependabot alerts
When Dependabot detects vulnerable dependencies in your repositories, we generate a Dependabot alert and display it on the Security tab for the repository. GitHub notifies the maintainers of affected repositories about the new alert according to their notification preferences. Dependabot is enabled by default on all public repositories, and needs to be enabled on private repositories. By default, you will receive Dependabot alerts by email. You can override the default overall behavior by choosing the type of notifications you want to receive, or switching notifications off altogether in the settings page for your user notifications at https://github.com/settings/notifications.
Dependabot generiert keine Dependabot alerts für Malware. Weitere Informationen finden Sie unter Informationen zu GitHub Advisory Database.
Regardless of your notification preferences, when Dependabot is first enabled, GitHub does not send notifications for all vulnerable dependencies found in your repository. Instead, you will receive notifications for new vulnerable dependencies identified after Dependabot is enabled, if your notification preferences allow it.
If you're an organization owner, you can enable or disable Dependabot alerts for all repositories in your organization with one click. You can also set whether Dependabot alerts will be enabled or disabled for newly-created repositories. For more information, see Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.
Configuring notifications for Dependabot alerts
When a new Dependabot alert is detected, GitHub notifies all users with access to Dependabot alerts for the repository according to their notification preferences. You will receive alerts if you are watching the repository, have enabled notifications for security alerts or for all the activity on the repository, and are not ignoring the repository. For more information, see Benachrichtigungen konfigurieren.
You can configure notification settings for yourself or your organization from the Manage notifications drop-down shown at the top of each page. For more information, see Benachrichtigungen konfigurieren.
Du kannst die Übermittlungsmethode für Benachrichtigungen sowie die Häufigkeit auswählen, in der die Benachrichtigungen an dich gesendet werden. Du erhältst standardmäßig Benachrichtigungen:
- In Ihrem Posteingang als Webbenachrichtigungen. Eine Webbenachrichtigung wird gesendet, wenn Dependabot für ein Repository aktiviert ist, eine neue Manifestdatei an das Repository committet wird und ein neues Sicherheitsrisiko mit kritischem oder hohem Schweregrad gefunden wird (Auf GitHub -Option).
- Per E-Mail. Eine E-Mail wird gesendet, wenn Dependabot für ein Repository aktiviert ist, eine neue Manifestdatei an das Repository committet wird und ein neues Sicherheitsrisiko mit kritischem oder hohem Schweregrad gefunden wird (E-Mail-Option).
- Über die Befehlszeile. Warnungen werden als Rückrufe angezeigt, wenn Sie einen Push an Repositorys mit anfälligen Abhängigkeiten durchführen (Option CLI).
- Über GitHub Mobile, als Webbenachrichtigungen. Weitere Informationen finden Sie unter Benachrichtigungen konfigurieren.
Hinweis
Die E-Mail- und Web-/GitHub Mobile-Benachrichtigungen lauten:
- Pro Repository, wenn Dependabot für das Repository aktiviert ist oder eine neue Manifestdatei an das Repository committet wird.
- Pro Organisation, wenn ein neues Sicherheitsrisiko ermittelt wird.
- Wird gesendet, wenn ein neues Sicherheitsrisiko ermittelt wird. GitHub sendet keine Benachrichtigungen, wenn Sicherheitsrisiken aktualisiert werden.
Du kannst anpassen, wie du über Dependabot alerts benachrichtigt wirst. Du kannst beispielsweise mit der Option E-Mail mit wöchentlicher Übersicht täglich oder wöchentlich eine Digest-E-Mail erhalten, die Warnungen für bis zu zehn deiner Repositorys zusammenfasst

Hinweis
You can filter your notifications on GitHub to show Dependabot alerts. For more information, see Benachrichtigungen über deinen Posteingang verwalten.
E-Mail-Benachrichtigungen für Dependabot alerts, die mindestens ein Repository betreffen, enthalten das Kopfzeilenfeld X-GitHub-Severity. Du kannst den Wert des Kopfzeilenfelds X-GitHub-Severity verwenden, um E-Mail-Benachrichtigungen für Dependabot alerts zu filtern. For more information, see Benachrichtigungen konfigurieren.
How to reduce the noise from notifications for Dependabot alerts
If you are concerned about receiving too many notifications for Dependabot alerts, we recommend leveraging Dependabot auto-triage rules to auto-dismiss low-risk alerts. Rules are applied before alert notifications are sent, so alerts that are auto-dismissed upon creation do not send notifications. For more information, see Über Auto-Triage-Regeln von Dependabot.
Alternatively, you can opt into the weekly email digest, or even completely turn off notifications while keeping Dependabot alerts enabled. You can still navigate to see your Dependabot alerts in your repository's Security tab. For more information, see Anzeigen und Aktualisieren von Dependabot-Warnungen.