Skip to main content

Interpretieren von Sicherheitsergebnissen

Sie können Sicherheitsdaten bezüglich Repositorys in Ihrer Organisation analysieren, um festzustellen, ob Sie Änderungen an Ihren Sicherheitseinstellungen vornehmen müssen.

Wer kann dieses Feature verwenden?

Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Organisationsmitglieder mit der Administratorrolle

Info zu Sicherheitsergebnisse

Nachdem Sie ein security configuration auf ein Repository angewendet haben, liefern die aktivierten Sicherheitsfeatures wahrscheinlich Sicherheitsergebnisse für dieses Repository. Diese Ergebnisse können als featurespezifische Warnungen oder als automatisch generierte Pull Requests angezeigt werden, die so konzipiert sind, dass deine Repositorys sicher bleiben. Sie können die Ergebnisse in der gesamten Organisation analysieren und erforderliche Anpassungen an der security configuration vornehmen.

Du solltest die Mitwirkenden dazu ermutigen, Sicherheitswarnungen und Pull Requests zu überprüfen und aufzulösen, um deine Organisation möglichst gut zu schützen.

Interpretieren von secret scanning-Warnungen

Secret scanning ist ein Sicherheitstool, das den gesamten Git-Verlauf von Repositorys sowie die Probleme, Pull Requests, Diskussionen und Wikis in diesen Repositorys auf offengelegte Geheimnisse durchsucht, die versehentlich übergeben wurden, wie etwa Token oder private Schlüssel. Es gibt zwei Arten von secret scanning-Warnungen:

  • Warnungen zur Geheimnisüberprüfung für Partner, die an den Anbieter gesendet werden, der den geheimen Schlüssel ausgeben hat
  • Warnungen zur Geheimnisüberprüfung für Benutzer*innen, die in GitHub angezeigt werden und aufgelöst werden können

Sie können die secret scanning-Warnungen für eine Organisation anzeigen, indem Sie zur Hauptseite der betreffenden Organisation navigieren, auf die Registerkarte Sicherheit klicken und dann auf Secret scanning.

Eine Einführung in secret scanning-Warnungen findest du unter Informationen zu Warnungen zur Geheimnisüberprüfung.

Informationen zum Bewerten von secret scanning-Warnungen findest du unter Bewerten von Warnungen aus der Geheimnisüberprüfung.

Interpretieren von code scanning-Warnungen

Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codefehler zu finden. Alle von der Analyse ermittelten Probleme werden im Repository angezeigt. Diese Probleme werden als code scanning-Warnungen behandelt, die detaillierte Informationen zur Verwundbarkeit oder zum erkannten Fehler enthalten.

Sie können die code scanning-Warnungen für eine Organisation anzeigen, indem Sie zur Hauptseite der betreffenden Organisation navigieren, auf die Registerkarte Sicherheit klicken und dann auf Code scanning.

Eine Einführung in code scanning-Warnungen findest du unter Informationen zu Codeüberprüfungswarnungen.

Informationen dazu, wie du code scanning-Warnungen interpretieren und beheben kannst, findest du unter Bewerten von Warnungen der Codeüberprüfung für das Repository und Problemlösung für Warnungen der Codeüberprüfung.

Interpretieren von Dependabot alerts

Dependabot alerts informieren Sie über Schwachstellen in den Abhängigkeiten, die Sie in Repositorys in Ihrer Organisation verwenden. Sie können Dependabot alerts für eine Organisation anzeigen, indem Sie zur Hauptseite der betreffenden Organisation navigieren, auf die Registerkarte Sicherheit klicken und dann auf Dependabot.

Eine Einführung in Dependabot alerts findest du unter Informationen zu Dependabot-Warnungen.

Wie du Dependabot alerts interpretieren und auflösen kannst, erfährst du unter Anzeigen und Aktualisieren von Dependabot-Warnungen.

Note

Wenn du Dependabot security updates aktiviert hast, kann Dependabot außerdem automatisch Pull Requests auslösen, um die Abhängigkeiten in den Repositorys der Organisation zu aktualisieren. Weitere Informationen finden Sie unter Informationen zu Dependabot-Sicherheitsupdates.

Nächste Schritte

Wenn Sie die GitHub-recommended security configuration verwenden und Ihre Ergebnisse darauf hinweisen, dass die Sicherheitsaktivierungseinstellungen nicht Ihren Anforderungen entsprechen, sollten Sie eine custom security configuration erstellen. Weitere Informationen zu den ersten Schritten findest du unter Erstellen einer benutzerdefinierten Sicherheitskonfiguration.

Wenn du eine custom security configuration verwendest und deine Ergebnisse darauf hinweisen, dass die Sicherheitsaktivierungseinstellungen nicht deinen Anforderungen entsprechen, kannst du die bestehenden Konfigurationen ändern. Weitere Informationen finden Sie unter Bearbeiten einer angepassten Sicherheitskonfiguration.

Zu guter Letzt können Sie ihre Sicherheitseinstellungen auf Organisationsebene auch mit global settings bearbeiten. Weitere Informationen findest du unter Konfigurieren globaler Sicherheitseinstellungen für Ihre Organisation.