Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Aktuelle Informationen findest du in der englischsprachigen Dokumentation.
All products
Codesicherheit

Schützen deiner Organisation

In diesem Artikel

Dir stehen einige GitHub-Features zur Verfügung, um deine Organisation zu schützen.

Wer kann dieses Feature verwenden?

Organization owners can configure organization security settings.

Einführung

In diesem Leitfaden wird erläutert, wie du Sicherheitsfeatures für eine Organisation konfigurierst. Die Sicherheitsanforderungen deiner Organisation sind einzigartig, und du musst möglicherweise nicht jedes Sicherheitsfeature aktivieren. Weitere Informationen findest du unter GitHub-Sicherheitsfeatures.

Einige Features sind für Repositorys in allen Plänen verfügbar. Zusätzliche Features stehen Unternehmen zur Verfügung, die GitHub Advanced Security verwenden. GitHub Advanced Security-Features (außer der Sicherheitsübersicht) sind für alle öffentlichen Repositorys auf GitHub.com aktiviert. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Verwalten von Zugriff auf deine Organisation

Du kannst Rollen verwenden, um zu steuern, welche Aktionen Personen in deiner Organisation ausführen können. Du kannst beispielsweise die Rolle „Sicherheitsmanager“ einem Team zuweisen, um den Teammitgliedern die Möglichkeit zu geben, Sicherheitseinstellungen organisationsweit zu verwalten, und du kannst Lesezugriff auf alle Repositorys gewähren. Weitere Informationen findest du unter Rollen in einer Organisation.

Erstellen einer Standardsicherheitsrichtlinie

Du kannst eine Standardsicherheitsrichtlinie erstellen, die in allen öffentlichen Repositorys deiner Organisation angezeigt wird, die keine eigene Sicherheitsrichtlinie haben. Weitere Informationen findest du unter Erstellen einer Standard-Community-Health-File.

Verwalten von Dependabot alerts und dem Abhängigkeitsdiagramm

Von GitHub werden Sicherheitsrisiken in öffentlichen Repositorys erkannt, und es wird das Abhängigkeitsdiagramm angezeigt. Du kannst Dependabot alerts für alle öffentlichen Repositorys, die deiner Organisation gehören, aktivieren oder deaktivieren. Du kannst Dependabot alerts und das Abhängigkeitsdiagramm für alle privaten Repositorys, die deiner Organisation gehören, aktivieren oder deaktivieren.

  1. Klicke auf dein Profilfoto und dann auf Organizations (Organisationen).
  2. Klicke neben deiner Organisation auf Settings (Einstellungen).
  3. Klicke auf Security & Analysis (Sicherheit und Analyse).
  4. Klicke neben dem Feature, das du verwalten möchtest, auf Enable all (Alle aktivieren) oder Disable all (Alle deaktivieren).
  5. Wähle optional Automatically enable for new repositories (Automatisch für neue Repositorys aktivieren) aus.

Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen, Untersuchen der Abhängigkeiten eines Repositorys und Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.

Verwalten der Abhängigkeitsüberprüfung

Die Abhängigkeitsüberprüfung ist ein Advanced Security-Feature, mit dem du Abhängigkeitsänderungen in Pull Requests visualisieren kannst, bevor sie in deine Repositorys zusammengeführt werden. Weitere Informationen findest du unter Informationen zur Abhängigkeitsüberprüfung.

Die Abhängigkeitsüberprüfung ist bereits für alle öffentlichen Repositorys aktiviert. Organisationen, die GitHub Enterprise Cloud mit Advanced Security verwenden, können zusätzlich die Abhängigkeitsüberprüfung für private und interne Repositorys aktivieren. Weitere Informationen findest du in der Dokumentation zu GitHub Enterprise Cloud.

Verwalten von Dependabot security updates

Für jedes Repository, für das Dependabot alerts verwendet werden, kannst du Dependabot security updates aktivieren, um Pull Requests mit Sicherheitsupdates auszulösen, wenn Sicherheitsrisiken erkannt werden. Du kannst auch Dependabot security updates für alle Repositorys in deiner Organisation aktivieren oder deaktivieren.

  1. Klicke auf dein Profilfoto und dann auf Organizations (Organisationen).
  2. Klicke neben deiner Organisation auf Settings (Einstellungen).
  3. Klicke auf Security & Analysis (Sicherheit und Analyse).
  4. Klicke neben Dependabot security updates auf Enable all (Alle aktivieren) oder Disable all (Alle deaktivieren).
  5. Wähle optional Automatically enable for new repositories (Automatisch für neue Repositorys aktivieren) aus.

Weitere Informationen findest du unter Informationen zu Dependabot-Sicherheitsupdates und unter Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.

Verwalten von Dependabot version updates

Du kannst Dependabot zur automatisch Generierung von Pull Requests aktivieren, um deine Abhängigkeiten auf dem neuesten Stand zu halten. Weitere Informationen findest du unter Informationen zu Updates von Dependabot-Versionen.

Zum Aktivieren von Dependabot version updates musst du eine dependabot.yml-Konfigurationsdatei erstellen. Weitere Informationen findest du unter Konfigurieren von Versionsupdates von Dependabot.

Konfigurieren von secret scanning

Secret scanning ist für alle öffentlichen Repositorys und öffentliche npm-Pakete verfügbar. Organisationen, die GitHub Enterprise Cloud mit Advanced Security verwenden, können zusätzlich secret scanning für private und interne Repositorys aktivieren. Weitere Informationen findest du in der Dokumentation zu GitHub Enterprise Cloud.

Du kannst secret scanning für alle öffentlichen Repositorys in deiner Organisation aktivieren oder deaktivieren..

  1. Klicke auf dein Profilfoto und dann auf Organizations (Organisationen).
  2. Klicke neben deiner Organisation auf Settings (Einstellungen).
  3. Klicke auf Codesicherheit und Analyse.
  4. Wähle neben Secret scanning die Option Alle aktivieren oder Alle deaktivieren aus.
  5. Wähle im angezeigten Dialogfeld optional Automatisch für neue private Repositorys aktivieren aus.
  6. Klicke im Dialogfeld auf die Schaltfläche „Aktivieren“ oder „Deaktivieren“, um die Änderung zu bestätigen.

Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.

Konfigurieren von code scanning

Code scanning ist für alle öffentlichen Repositorys verfügbar. Organisationen, die GitHub Enterprise Cloud mit Advanced Security verwenden, können zusätzlich code scanning für private und interne Repositorys verwenden.

Du kannst das Standardsetup von code scanning für alle berechtigten Repositorys aktivieren oder deaktivieren, die in deiner Organisation öffentlich sind. Weitere Informationen zu berechtigten Repositorys findest du unter Konfigurieren der Codeüberprüfung im großen Stil mithilfe von CodeQL.

Für Repositorys, die nicht für das Standardsetup geeignet sind, kannst du ein erweitertes Setup auf Repositoryebene konfigurieren. Weitere Informationen findest du unter Konfigurieren der Codeüberprüfung für ein Repository.

Note: The ability to enable and disable default set up for code scanning for eligible repositories in an organization is currently in beta and subject to change. During the beta release, if you disable CodeQL code scanning for all repositories this change will not be reflected in the coverage information shown in security overview for the organization. The repositories will still appear to have code scanning enabled in this view.

  1. Klicke auf dein Profilfoto und dann auf Organizations (Organisationen).
  2. Klicke neben deiner Organisation auf Settings (Einstellungen).
  3. Klicke auf Codesicherheit und Analyse.
  4. Wähle neben Code scanning die Option Alle aktivieren oder Alle deaktivieren aus.
  5. Klicke im angezeigten Dialogfeld „code scanning für berechtigte Repositorys aktivieren“ oder im angezeigten Dialogfeld „code scanning“ auf Für berechtigte Repositorys aktivieren oder auf code scanning deaktivieren, um die Änderung zu bestätigen.

Nächste Schritte

Du kannst Warnungen von Sicherheitsfeatures anzeigen und verwalten, um Abhängigkeiten und Sicherheitsrisiken in deinem Code zu bearbeiten. Weitere Informationen findest du unter Anzeigen und Aktualisieren von Dependabot-Warnungen, Verwalten von Pull Requests für Abhängigkeitsupdates, Verwalten von Codescanwarnungen für dein Repository und Verwalten von Warnungen aus der Geheimnisüberprüfung.

Du kannst auch Reaktionen auf Sicherheitswarnungen in deiner Organisation überwachen. Weitere Informationen findest du unter Prüfen von Sicherheitswarnungen.

Wenn ein Sicherheitsrisiko besteht, kannst du eine Sicherheitsempfehlung erstellen, um das Sicherheitsrisiko privat zu besprechen und zu beheben. Weitere Informationen findest du unter Informationen zu Sicherheitsempfehlungen für Repositorys und unter Erstellen einer Sicherheitsempfehlung für ein Repository.

Organisationen, die GitHub Enterprise Cloud verwenden, können Sicherheitsbenachrichtigungen für Repositorys im Besitz der Organisation in der Sicherheitsübersicht anzeigen, filtern und sortieren. Weitere Informationen findest du unter Informationen zur Sicherheitsübersicht in der Dokumentation zu GitHub Enterprise Cloud.