Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Aktuelle Informationen findest du in der englischsprachigen Dokumentation.

Phase 2: Preparing to enable at scale

In this phase you will prepare developers and collect data about your repositories to ensure your teams are ready and you have everything you need for pilot programs and rolling out code scanning and secret scanning.

Phase 2: Vorbereiten auf das Aktivieren im großen Stil

In dieser Phase bereitest du Entwickler*innen vor und sammelst Daten zu deinen Repositorys, sodass deine Teams bereit sind und du über alles verfügst, das du für Pilotprogramme sowie für das Rollout der code scanning und der secret scanning benötigst. Vorbereitung

Dieser Artikel ist Teil einer Reihe zum Einführen von GitHub Advanced Security im großen Stil.

Den vorherigen Artikel dieser Reihe findest du unter Phase 1: Ausrichten auf die Rolloutstrategie und -ziele.

Vorbereiten auf das Aktivieren der code scanning Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codefehler zu finden. Alle von der Analyse identifizierten Probleme werden in GitHub Enterprise Cloud angezeigt. Weitere Informationen findest du unter [Informationen zur Codeüberprüfung](/code-security/code-scanning/automatically-scanning-your-code-for-vulnerabilities-and-errors/about-code-scanning).

Das Rollout der code scanning hunderte von Repositorys übergreifend kann eine Herausforderung darstellen, besonders dann, wenn es ineffizient erfolgt.

Wenn du die folgenden Schritte befolgst, wird dein Rollout sowohl effizient als auch erfolgreich. Als Teil der Vorbereitung arbeitest du in Teams, verwendest Automatisierung zum Sammeln von Daten zu deinen Repositorys und aktivierst die code scanning. Vorbereiten von Teams auf die code scanning

Bereite deine Teams zunächst darauf vor, die code scanning zu verwenden. Je mehr Teams die code scanning nutzen, desto mehr Daten können für Wartungspläne und zum Überwachen des Fortschritts bei deinem Rollout verwendet werden.

Konzentriere dich in dieser Phase auf das Nutzen von APIs und das Ausführen von internen Aktivierungen.

Dein Hauptfokus sollte auf dem Vorbereiten möglichst vieler Teams auf das Verwenden der code scanning liegen.

Du kannst die Teams auch dazu ermutigen, entsprechende Wartungen vorzunehmen. Es wird jedoch empfohlen, in dieser Phase das Aktivieren und Verwenden der code scanning gegenüber dem Lösen von Problemen zu priorisieren.

Sammeln von Informationen zu deinen Repositorys Du kannst programmgesteuert Informationen zu verschiedenen Programmiersprachen sammeln, die in deinen Repositorys verwendet werden, und diese Daten zum Aktivieren der code scanning mithilfe der GraphQL-API von GitHub Enterprise Cloud in allen Repositorys nutzen, die dieselbe Sprache verwenden.

Hinweis: Um diese Daten zu sammeln, ohne die in diesem Artikel beschriebenen GraphQL-Abfragen manuell auszuführen, kannst du unser öffentlich verfügbares Tool verwenden. Weitere Informationen findest du im „ghas-enablement“-Tool-Repository.

query {
  enterprise(slug: "OCTO-ENTERPRISE") {
    organizations(first: 100) {
      totalCount
      nodes {
        name
      }
      pageInfo {
        endCursor
        hasNextPage
      }
    }
  }
}
Wenn du Informationen aus Repositorys sammeln möchtest, die mehreren Organisationen in deinem Unternehmen gehören, kannst du die untenstehende Abfrage zum Abrufen der Namen deiner Organisation verwenden und sie dann in die Repositoryabfrage eingeben.
query {
  organization(login: "OCTO-ORG") { 
    repositories(first: 100) {
      totalCount
      nodes {
        nameWithOwner
        languages(first: 100) {
          totalCount
          nodes {
            name
          }
        }
      }
      pageInfo {
        endCursor
        hasNextPage
      }
    }
  }
}

Ersetze „OCTO-ENTERPRISE“ durch deinen Unternehmensnamen.

Indem du die Repositorys auf Organisationsebene nach Sprache sortierst, kannst du ermitteln, welche Repositorys welche Sprachen verwenden.

Du kannst die nachstehende Beispiel-GraphQL-Abfrage ändern, indem du „OCTO-ORG“ durch den Namen der Organisation ersetzt.Weitere Informationen zum Ausführen von GraphQL-Abfragen findest du unter Erstellen von Aufrufen mit GraphQL.Konvertiere dann die Daten aus der GraphQL-Abfrage in ein lesbares Format, z. B. eine Tabelle.
SpracheAnzahl der RepositorysName der Repositorys
JavaScript (TypeScript)
4212org/repoorg/repo
Python
2012org/repoorg/repo
Go
983org/repoorg/repo
Java
412org/repoorg/repo
Swift
111org/repoorg/repo
Kotlin
82org/repoorg/repo
C

12

org/repo org/repo Du kannst die aktuell nicht von GitHub Advanced Security unterstützten Sprachen aus dieser Tabelle herausfiltern.

Wenn du über Repositorys mit mehreren Sprachen verfügst, kannst du die GraphQL-Ergebnisse wie in der nachstehenden Tabelle dargestellt formatieren.Filtere Sprachen heraus, die nicht unterstützt werden, behalte jedoch alle Repositorys mit mindestens einer unterstützten Sprache.Du kannst die code scanning für diese Repositorys aktivieren, und alle unterstützten Sprachen werden überprüft.
Sprache(n)Anzahl der RepositorysName der Repositorys
JavaScript/Python/Go
16org/repoorg/repo
Rust/TypeScript/Python

12

org/repo

org/repo

Wenn du weißt, welche Repositorys welche Sprachen verwenden, kannst du mögliche Repositorys für Pilotprogramme in Phase 3 leichter ermitteln und dich besser auf das repositoryübergreifende Aktivieren der code scanning in Phase 5 vorbereiten, das eine Sprache nach der anderen erfolgt. Vorbereiten auf das Aktivieren der secret scanning

**Hinweis:** Wenn secret scanning in Repositorys von Organisationen, die GitHub Enterprise Cloud verwenden und über eine Lizenz für GitHub Advanced Security verfügen, ein Geheimnis erkennt, benachrichtigt GitHub alle Benutzer mit Zugriff auf Sicherheitswarnungen für das Repository.

Geheimnisse, die in öffentlichen Repositorys mit Warnungen zur Geheimnisüberprüfung für Partner gefunden werden, werden direkt an den Partner gemeldet, ohne dass eine Warnung auf GitHub Enterprise Cloud erstellt wird. Weitere Informationen zu den unterstützten Partnermustern findest du unter Unterstützte Geheimnisse für Partnerwarnungen.

Bei der Kommunikation zwischen einem Projekt und einem externen Dienst wird ein Token oder ein privater Schlüssel zur Authentifizierung verwendet.

Wenn du ein Geheimnis in ein Repository einfügst, kann jedermann mit Lesezugriff auf das Repository das Geheimnis verwenden, um mit deinen Privilegien auf den externen Dienst zuzugreifen.

Die Secret scanning überprüft deinen gesamten Gitverlauf auf allen vorhandenen Branches in deinen Repositorys von GitHub auf Geheimnisse und warnt dich oder blockiert den Push mit dem Geheimnis. Weitere Informationen findest du unter Informationen zur Geheimnisüberprüfung.

  • Überlegungen beim Aktivieren der secret scanning
    Die secret scanning-Funktion von GitHub Enterprise Cloud unterscheidet sich etwas von der code scanning, da sie keine besondere Konfiguration nach Programmiersprache oder Repository bzw. allgemein weniger Konfigurationen benötigt. Dies bedeutet, dass das Aktivieren der secret scanning auf Organisationsebene leicht sein kann. Alle aktivieren auf Organisationsebene anzuklicken und einen Haken bei der Option secret scanning für jedes neue Repository automatisch aktivieren zu setzen, hat einige Downstreamauswirkungen, denen du dir bewusst sein solltest: Lizenzverbrauch
  • Das Aktivieren der secret scanning für alle Repositorys verbraucht alle deine Lizenzen, auch wenn keine Codeüberprüfung verwendet wird.
    Solange du die Anzahl der aktiven Entwicklerinnen in deiner Organisation nicht erhöhen möchtest, ist dies in Ordnung. Wenn die Anzahl der aktiven Entwicklerinnen in den nächsten Monaten wahrscheinlich ansteigt, könntest du deine Lizenzgrenze überschreiten, sodass du dann GitHub Advanced Security nicht mehr für neu erstellte Repositorys verwenden kannst. Anfängliches hohes Volumen erkannter Geheimnisse

Wenn du die secret scanning für eine große Organisation aktivierst, findest du eine hohe Anzahl an Geheimnissen. Manchmal sind Organisationen damit überfordert, und der Alarm wird ausgelöst. Wenn du die secret scanning für alle Repositorys gleichzeitig aktivieren möchtest, solltest du planen, wie du auf mehrere Warnungen in der Organisation reagieren wirst. Secret scanning können für einzelne Repositorys aktiviert werden.

Weitere Informationen findest du unter Konfigurieren von secret scanning für deine Repositorys.

Secret scanning können, wie oben beschrieben, auch für alle Repositorys in deiner Organisation aktiviert werden.

Weitere Informationen zum Aktivieren für alle Repositorys findest du unter Verwalten der Sicherheits- und Analyseeinstellungen für deine Organisation.

Benutzerdefinierte Muster für die secret scanning

Secret scanning erkennen eine große Anzahl an Standardmustern, können jedoch auch so konfiguriert werden, dass sie benutzerdefinierte Muster finden. Dazu gehören z. B. Geheimnisformate, die nur in deiner Infrastruktur zu finden sind, oder von Integratoren verwendet werden, die die secret scanning von GitHub Enterprise Cloud aktuell nicht erkennt.

Weitere Informationen zu unterstützten Geheimnissen für Partnermuster findest du unter Geheimnisüberprüfungsmuster.

Erstelle eine Liste mit Geheimnistypen, wenn du Repositorys überwachst und mit Sicherheits- und Entwicklerteams sprichst, die du später zum Konfigurieren von benutzerdefinierten Mustern für die secret scanning verwenden kannst.

Weitere Informationen findest du unter Definieren benutzerdefinierter Muster für Geheimnisüberprüfungen.