Leitfäden für Codesicherheit

Hier erfährst du, wie du mit GitHub die Sicherheit deines Codes verbessern kannst.

Beheben und Offenlegen eines Sicherheitsrisikos
Verwenden von Empfehlungen zur Repositorysicherheit, um ein gemeldetes Sicherheitsrisiko privat zu beheben und eine CVE zu erhalten.
Lernpfad starten
1
Übersicht
Informationen zur koordinierten Offenlegung von Sicherheitsrisiken
Die Offenlegung von Sicherheitsrisiken ist eine koordinierte Anstrengung zwischen den Erstellern von Sicherheitsberichten und Maintainern des Repositorys.
2
Übersicht
Informationen zu GitHub Advisory Database
GitHub Advisory Database enthält eine Liste bekannter Sicherheitsrisiken und Malware, , die in die beiden Kategorien „Empfehlungen, die von GitHub überprüft wurden“ und „nicht überprüfte Empfehlungen“ gruppiert sind.
3
Übersicht
Informationen zu globalen Sicherheitsempfehlungen
Globale Sicherheitsempfehlungen befinden sich in der GitHub Advisory Database, einer Sammlung von CVEs und aus GitHub stammenden Empfehlungen für die Open-Source-Welt. Du kannst zur Verbesserung der globalen Sicherheitsempfehlungen beitragen.
4
Übersicht
Informationen zu Sicherheitsempfehlungen für Repositorys
Mit Sicherheitsempfehlungen für Repositorys können Informationen zu Sicherheitsrisiken in deinem Repository privat diskutiert, behoben und veröffentlicht werden.
5
Schrittanleitung
Bewährte Methoden für das Schreiben von Sicherheitsempfehlungen für Repositorys
Wenn du Sicherheitsempfehlungen erstellst oder bearbeitest, sind die bereitgestellten Informationen für andere Benutzer*innen einfacher zu verstehen, wenn du das Ökosystem, den Paketnamen und die betroffenen Versionen in den gängigen Formaten angibst.
6
Schrittanleitung
Privates Melden eines Sicherheitsrisikos
Bei einigen öffentlichen Repositorys sind die Sicherheitsempfehlungen so konfiguriert, dass jede Person Sicherheitsrisiken direkt und privat an die Maintainer*innen melden kann.
7
Schrittanleitung
Verwalten privat gemeldeter Sicherheitsrisiken
Repository-Maintainer können Sicherheitsrisiken verwalten, die privat von Sicherheitsforschern für Repositorys gemeldet wurden, in denen private Sicherheitsrisikomeldungen aktiviert sind.
8
Schrittanleitung
Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository
Besitzer und Administratoren öffentlicher Repositorys können Sicherheitsforschern ermöglichen, Sicherheitsrisiken sicher im Repository zu melden, indem sie die private-Sicherheitsrisikoberichterstattung aktivieren.
9
Schrittanleitung
Konfigurieren der privaten Meldung von Sicherheitsrisiken für eine Organisation
Organisationsbesitzerinnen und Sicherheitsmanager können Sicherheitsexpertinnen ermöglichen, Sicherheitsrisiken sicher in Repositorys innerhalb der Organisation zu melden, indem sie die private Sicherheitsrisikoberichterstattung für alle öffentlichen Repositorys aktivieren.
10
Schrittanleitung
Erstellen einer Sicherheitsempfehlung für ein Repository
Du kannst einen Entwurf eines Sicherheitshinweises erstellen, um privat über die Sicherheitslücke in Deinem Open-Source-Projekt zu diskutieren und sie zu beheben.
11
Schrittanleitung
Hinzufügen eines Mitarbeiters zu einem Repository-Sicherheitshinweis
Du kannst andere Benutzer oder Teams hinzufügen, damit sie mit Dir an einem Sicherheitshinweis zusammenarbeiten.
12
Schrittanleitung
Zusammenarbeit in einem temporären privaten Fork, um eine Sicherheitslücke im Repository zu beheben
Du kannst einen temporären privaten Fork erstellen, um privat an der Behebung einer Sicherheitslücke in Deinem Repository zusammenzuarbeiten.
13
Schrittanleitung
Veröffentlichen einer Sicherheitsempfehlung für ein Repository
Du kannst einen Sicherheitshinweis veröffentlichen, um Deine Community über eine Sicherheitslücke in Deinem Projekt zu informieren.
14
Schrittanleitung
Bearbeiten einer Sicherheitsempfehlung für ein Repository
Du kannst die Metadaten und die Beschreibung für einen Sicherheitshinweis zu einem Repository bearbeiten, wenn du Details aktualisieren oder Fehler korrigieren musst.
15
Schrittanleitung
Hinweis: Dieser Artikel gilt für die Bearbeitung von Empfehlungen auf Repositoryebene als Repositorybesitzer. Benutzer, die keine Repositorybesitzer sind, können zu globalen Sicherheitsempfehlungen in der GitHub Advisory Database unter github.com/advisories beitragen. Die Bearbeitung globaler Empfehlungen hat keine Auswirkungen auf die Darstellung der Empfehlung im Repository. Weitere Informationen findest du unter Bearbeiten von Sicherheitshinweisen in GitHub Advisory Database.
Wenn du einen Sicherheitshinweis fälschlicherweise veröffentlichst, kannst du den Hinweis zurückziehen, indem du GitHub-Support kontaktierst.
16
Schrittanleitung
Entfernen eines Mitarbeiters aus einer Sicherheitsempfehlung für ein Repository
Wenn du Projektmitarbeiter*innen aus einer Repositorysicherheitsempfehlung entfernst, verlieren sie Lese- und Schreibzugriff auf die Diskussionen und Metadaten der Sicherheitsempfehlung.

Lernpfade für Code security

Lernpfade sind eine Sammlung von Anleitungen, die dir helfen, ein bestimmtes Thema zu erlernen.

Abrufen von Benachrichtigungen über unsichere Abhängigkeiten

Richte Dependabot dazu ein, dich vor neuen Sicherheitsrisiken oder Malware in deinen Abhängigkeiten zu warnen.

Lernpfad starten

Abrufen von Pullanforderungen zum Aktualisieren deiner anfälligen Abhängigkeiten

Richte Dependabot ein, um Pull Requests zu erstellen, wenn neue Sicherheitsrisiken gemeldet werden.

Lernpfad starten

Halte deine Abhängigkeiten auf dem neuesten Stand

Suche mit Dependabot nach neuen Releases, und erstelle Pull Requests, um deine Abhängigkeiten zu aktualisieren.

Lernpfad starten

Suchen nach Geheimnissen

Richte zum Schutz vor versehentlichem Einchecken von Token, Kennwörtern und anderen Geheimnissen in dein Repository Überprüfungen auf Geheimnisse ein.

Lernpfad starten

Ausführen der Codeüberprüfung mit GitHub Actions

Überprüfe deinen Standardbranch und jeden Pull Request, um dein Repository von Sicherheitsrisiken und Fehlern freizuhalten.

Lernpfad starten

Ausführen der CodeQL-Codeüberprüfung in deiner CI

Richte CodeQL innerhalb deiner vorhandenen CI ein, und lade Ergebnisse in die GitHub-Codeüberprüfung hoch.

Lernpfad starten

Integration in die Codeüberprüfung

Lade Codeanalyseergebnisse aus Drittanbietersystemen mit SARIF in GitHub hoch.

Lernpfad starten

End-to-End-Lieferkette

Wie du deine Benutzerkonten, deinen Code und deinen Buildvorgang sichern solltest.

Lernpfad starten

Alle Anleitungen für Code security

Filtere die Anleitungenliste mit diesen Steuerelementen

78 Anleitungen gefunden

Beheben und Offenlegen eines Sicherheitsrisikos

Informationen zur koordinierten Offenlegung von Sicherheitsrisiken

Informationen zu GitHub Advisory Database

Informationen zu globalen Sicherheitsempfehlungen

Informationen zu Sicherheitsempfehlungen für Repositorys

Bewährte Methoden für das Schreiben von Sicherheitsempfehlungen für Repositorys

Privates Melden eines Sicherheitsrisikos

Verwalten privat gemeldeter Sicherheitsrisiken

Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository

Konfigurieren der privaten Meldung von Sicherheitsrisiken für eine Organisation

Erstellen einer Sicherheitsempfehlung für ein Repository

Hinzufügen eines Mitarbeiters zu einem Repository-Sicherheitshinweis

Zusammenarbeit in einem temporären privaten Fork, um eine Sicherheitslücke im Repository zu beheben

Veröffentlichen einer Sicherheitsempfehlung für ein Repository

Bearbeiten einer Sicherheitsempfehlung für ein Repository

Entfernen eines Mitarbeiters aus einer Sicherheitsempfehlung für ein Repository

Informationen zu Dependabot-Warnungen

Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository

Anzeigen und Aktualisieren von Dependabot-Warnungen

Verwenden von Warnungsregeln zum Priorisieren von Dependabot-Warnungen

Informationen zu Dependabot-Sicherheitsupdates

Konfigurieren von Dependabot-Sicherheitsupdates

Konfigurieren von Benachrichtigungen für Dependabot-Warnungen

Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository

Informationen zu Updates von Dependabot-Versionen

Konfigurieren von Versionsupdates von Dependabot

Anpassen von Abhängigkeitsupdates

Konfigurationsoptionen für die Datei dependabot.yml

Informationen zur Geheimnisüberprüfung

Konfigurieren der Geheimnisüberprüfung für deine Repositorys

Verwalten von Warnungen aus der Geheimnisüberprüfung

Geheimnisüberprüfungsmuster

Informationen zu Codescans

Konfigurieren der Codeüberprüfung für ein Repository

Anpassen der Codeüberprüfung

Konfigurieren des CodeQL-Workflows für kompilierte Sprachen

Informationen zur CodeQL-Codeüberprüfung in deinem CI-System

Installieren der CodeQL-CLI in deinem CI-System

Konfigurieren der CodeQL-CLI in deinem CI-System

Migrieren vom CodeQL-Runner zu CodeQL-CLI

Informationen zur Integration mit Codeüberprüfung

Hochladen einer SARIF-Datei in GitHub

SARIF-Unterstützung für die Codeüberprüfung

Codeüberprüfung

Sichern einer End-to-End-Lieferkette

Bewährte Methoden zum Schützen von Konten

Bewährte Methoden zum Sichern von Code in einer Lieferkette

Bewährte Methoden zum Schützen deines Buildsystems

Hinzufügen einer Sicherheitsrichtlinie für dein Repository

GitHub-Sicherheitsfeatures

Schützen deiner Organisation

Repository schützen

Prüfen von Sicherheitswarnungen

Informationen zur Geheimnisüberprüfung

Konfigurieren der Geheimnisüberprüfung für deine Repositorys

Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung

Verwalten von Warnungen aus der Geheimnisüberprüfung