Code security guides
Hier erfährst du, wie du mit GitHub die Sicherheit deines Codes verbessern kannst.
Beheben und Offenlegen eines Sicherheitsrisikos
Verwenden von Empfehlungen zur Repositorysicherheit, um ein gemeldetes Sicherheitsrisiko privat zu beheben und eine CVE zu erhalten.Start learning path- 1Overview
Informationen zur koordinierten Offenlegung von Sicherheitsrisiken
Die Offenlegung von Sicherheitsrisiken ist eine koordinierte Anstrengung zwischen den Erstellern von Sicherheitsberichten und Maintainern des Repositorys. - 2Overview
Informationen zu GitHub Advisory Database
GitHub Advisory Database enthält eine Liste bekannter Sicherheitsrisiken und Malware, , die in die beiden Kategorien „Empfehlungen, die von GitHub überprüft wurden“ und „nicht überprüfte Empfehlungen“ gruppiert sind. - 3Overview
Informationen zu globalen Sicherheitsempfehlungen
Globale Sicherheitsempfehlungen befinden sich in der GitHub Advisory Database, einer Sammlung von CVEs und aus GitHub stammenden Empfehlungen für die Open-Source-Welt. Du kannst zur Verbesserung der globalen Sicherheitsempfehlungen beitragen. - 4Overview
Informationen zu Sicherheitsempfehlungen für Repositorys
Mit Sicherheitsempfehlungen für Repositorys können Informationen zu Sicherheitsrisiken in deinem Repository privat diskutiert, behoben und veröffentlicht werden. - 5How-to guide
Bewährte Methoden für das Schreiben von Sicherheitsempfehlungen für Repositorys
Wenn du Sicherheitsempfehlungen erstellst oder bearbeitest, sind die bereitgestellten Informationen für andere Benutzer*innen einfacher zu verstehen, wenn du das Ökosystem, den Paketnamen und die betroffenen Versionen in den gängigen Formaten angibst. - 6How-to guide
Privates Melden eines Sicherheitsrisikos
Bei einigen öffentlichen Repositorys sind die Sicherheitsempfehlungen so konfiguriert, dass jede Person Sicherheitsrisiken direkt und privat an die Maintainer*innen melden kann. - 7How-to guide
Verwalten privat gemeldeter Sicherheitsrisiken
Repository-Maintainer können Sicherheitsrisiken verwalten, die privat von Sicherheitsforschern für Repositorys gemeldet wurden, in denen private Sicherheitsrisikomeldungen aktiviert sind. - 8How-to guide
Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository
Besitzer und Administratoren öffentlicher Repositorys können Sicherheitsforschern ermöglichen, Sicherheitsrisiken sicher im Repository zu melden, indem sie die private-Sicherheitsrisikoberichterstattung aktivieren. - 9How-to guide
Erstellen einer Sicherheitsempfehlung für ein Repository
Du kannst einen Entwurf eines Sicherheitshinweises erstellen, um privat über die Sicherheitslücke in Deinem Open-Source-Projekt zu diskutieren und sie zu beheben. - 10How-to guide
Hinzufügen eines Mitarbeiters zu einem Repository-Sicherheitshinweis
Du kannst andere Benutzer oder Teams hinzufügen, damit sie mit Dir an einem Sicherheitshinweis zusammenarbeiten. - 11How-to guide
Zusammenarbeit in einem temporären privaten Fork, um eine Sicherheitslücke im Repository zu beheben
Du kannst einen temporären privaten Fork erstellen, um privat an der Behebung einer Sicherheitslücke in Deinem Repository zusammenzuarbeiten. - 12How-to guide
Veröffentlichen einer Sicherheitsempfehlung für ein Repository
Du kannst einen Sicherheitshinweis veröffentlichen, um Deine Community über eine Sicherheitslücke in Deinem Projekt zu informieren. - 13How-to guide
Bearbeiten einer Sicherheitsempfehlung für ein Repository
Du kannst die Metadaten und die Beschreibung für einen Sicherheitshinweis zu einem Repository bearbeiten, wenn du Details aktualisieren oder Fehler korrigieren musst. - 14How-to guide
Zurückziehen einer Sicherheitsempfehlung für ein Repository
Du kannst eine veröffentlichte Repositorysicherheitsempfehlung auch wieder zurückziehen. - 15How-to guide
Entfernen eines Mitarbeiters aus einer Sicherheitsempfehlung für ein Repository
Wenn du Projektmitarbeiter*innen aus einer Repositorysicherheitsempfehlung entfernst, verlieren sie Lese- und Schreibzugriff auf die Diskussionen und Metadaten der Sicherheitsempfehlung.
Code security learning paths
Abrufen von Benachrichtigungen über unsichere Abhängigkeiten
Richte Dependabot dazu ein, dich vor neuen Sicherheitsrisiken oder Malware in deinen Abhängigkeiten zu warnen.
Abrufen von Pullanforderungen zum Aktualisieren deiner anfälligen Abhängigkeiten
Richte Dependabot ein, um Pull Requests zu erstellen, wenn neue Sicherheitsrisiken gemeldet werden.
Halte deine Abhängigkeiten auf dem neuesten Stand
Suche mit Dependabot nach neuen Releases, und erstelle Pull Requests, um deine Abhängigkeiten zu aktualisieren.
Suchen nach Geheimnissen
Richte zum Schutz vor versehentlichem Einchecken von Token, Kennwörtern und anderen Geheimnissen in dein Repository Überprüfungen auf Geheimnisse ein.
Ausführen der Codeüberprüfung mit GitHub Actions
Überprüfe deinen Standardbranch und jeden Pull Request, um dein Repository von Sicherheitsrisiken und Fehlern freizuhalten.
Ausführen der CodeQL-Codeüberprüfung in deiner CI
Richte CodeQL innerhalb deiner vorhandenen CI ein, und lade Ergebnisse in die GitHub-Codeüberprüfung hoch.
Integration in die Codeüberprüfung
Lade Codeanalyseergebnisse aus Drittanbietersystemen mit SARIF in GitHub hoch.
End-to-End-Lieferkette
Wie du deine Benutzerkonten, deinen Code und deinen Buildvorgang sichern solltest.
All Code security guides
Hinzufügen einer Sicherheitsrichtlinie für dein Repository
How-to guideIndem du eine Sicherheitsrichtlinie zu deinem Repository hinzufügst, kannst du festlegen, wie Sicherheitslücken in deinem Projekt gemeldet werden sollen.
- Security policies
- Vulnerabilities
- Repositories
- Health
GitHub-Sicherheitsfeatures
OverviewEine Übersicht der Sicherheitsfeatures von GitHub.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Schützen deiner Organisation
How-to guideDir stehen einige GitHub-Features zur Verfügung, um deine Organisation zu schützen.
- Organizations
- Dependencies
- Vulnerabilities
- Advanced Security
Repository schützen
How-to guideDir stehen einige GitHub-Features zur Verfügung, um dein Repository zu schützen.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Informationen zur Geheimnisüberprüfung
OverviewGitHub überprüft Repositorys auf bekannte Geheimnistypen, um das betrügerische Verwenden von Geheimnissen zu verhindern, die aus Versehen committet wurden.
- Secret scanning
- Advanced Security
Konfigurieren der Geheimnisüberprüfung für deine Repositorys
How-to guideDu kannst konfigurieren, wie GitHub deine Repositorys nach kompromittierten Geheimnissen durchsucht und Warnungen generiert.
- Secret scanning
- Advanced Security
- Repositories
Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung
How-to guideDu kannst secret scanning erweitern, um Geheimnisse zu erkennen, die über die Standardmuster hinausgehen.
- Advanced Security
- Secret scanning
Verwalten von Warnungen aus der Geheimnisüberprüfung
How-to guideDu kannst Warnungen für Geheimnisse, die in deinem Repository geprüft wurden, anzeigen und schließen.
- Secret scanning
- Advanced Security
- Alerts
- Repositories
Schützen von Pushes mit der Geheimnisüberprüfung
How-to guideDu kannst mit secret scanning verhindern, dass unterstützte Geheimnisse in deine Organisation oder dein Repository gepusht werden, indem du den Pushschutz aktivierst.
- Secret scanning
- Advanced Security
- Alerts
- Repositories