Über diesen Leitfaden
Als Organisationsbesitzer*in sollte die Verhinderung der Offenlegung privater oder vertraulicher Daten oberste Priorität haben. Ob absichtlich oder versehentlich, Datenlecks können erhebliche Risiken für die beteiligten Parteien darstellen. Während GitHub Maßnahmen ergreift, um dich vor Datenlecks zu schützen, bist du auch für die Verwaltung deiner Organisation verantwortlich, um die Sicherheit zu erhöhen.
Es gibt mehrere Schlüsselkomponenten, wenn es um die Abwehr von Datenlecks geht:
- Proaktives Vorgehen bei der Prävention
- Frühzeitige Erkennung möglicher Lecks
- Verwalten von vorbeugenden Maßnahmen, wenn ein Vorfall auftritt
Der beste Ansatz hängt von der Art der Organisation ab, die du verwaltest. Beispielsweise erfordert eine Organisation, die sich auf Open-Source-Entwicklung konzentriert, möglicherweise eine lockerere Steuerung als eine vollständig kommerzielle Organisation, um eine externe Zusammenarbeit zu ermöglichen. Dieser Artikel enthält allgemeine Anleitungen zu den zu berücksichtigenden GitHub-Features und -Einstellungen, die du entsprechend deiner Anforderungen implementieren solltest.
Sichere Konten
Schütze die Repositorys und Einstellungen deiner Organisation, indem du bewährte Sicherheitsmethoden implementierst, z. B. durch Aktivieren und Erzwingen von 2FA für alle Mitglieder sowie durch Einrichten von Richtlinien für sichere Kennwörter.
-
Sichere Authentifizierungsprozesse mithilfe von SAML- und SCIM-Integrationen sowie 2FA-Authentifizierung (nach Möglichkeit) aktivieren. Weitere Informationen findest du unter Informationen zur Identitäts- und Zugriffsverwaltung mit SAML-SSO, Informationen zu SCIM für Organisationen und Konto durch Zwei-Faktor-Authentifizierung (2FA) schützen.
-
Organisationsmitglieder, externe Mitarbeiter und Abrechnungsmanager müssen 2FA für ihre persönlichen Konten aktivieren, um böswilligen Akteuren den Zugriff auf die Repositories und Einstellungen einer Organisation zu erschweren. Dies ist ein Schritt zusätzlich zur Aktivierung der sicheren Authentifizierung. Weitere Informationen finden Sie unter Erfordern der zweistufigen Authentifizierung in deiner Organisation.
-
Benutzer*innen animieren, sichere Kennwörter zu erstellen und sie angemessen zu schützen, indem sie die empfohlenen GitHub-Kennwortrichtlinien befolgen. Weitere Informationen finden Sie unter "Ein sicheres Passwort erstellen".
-
Ermutigen Sie Ihre Benutzer, den Pushschutz für Benutzer in ihren persönlichen Kontoeinstellungen aktiviert zu lassen, damit sie unabhängig davon, an welches öffentliche Repository sie pushen, geschützt sind. Weitere Informationen findest du unter Pushschutz für Benutzer.
-
Eine interne Sicherheitsrichtlinie in GitHub einrichten, damit Benutzer*innen wissen, welche Schritte sie ausführen und wen sie bei Verdacht auf einen Vorfall kontaktiert müssen. Weitere Informationen findest du unter Hinzufügen einer Sicherheitsrichtlinie für dein Repository.
Weitere Informationen zum Sichern von Konten findest du unter Bewährte Methoden zum Schützen von Konten.
Verhindern von Datenlecks
Als Organisationsbesitzer*in solltest du den Zugriff entsprechend dem Typ deiner Organisation einschränken und überprüfen. Berücksichtige die folgenden Einstellungen für eine striktere Kontrolle:
| Empfehlung | Weitere Informationen |
|---|---|
| Deaktiviere die Möglichkeit, Repositorys zu forken. | Verwalten der Forking-Richtlinie für dein Repository |
| Deaktivieren Sie die Änderungsmöglichkeit für die Repositorysichtbarkeit. | Einschränken von Änderungen der Sichtbarkeit von Repositorys in deiner Organisation |
| Beschränke die Repositoryerstellung auf „Privat“ oder „Intern“. | Einschränken der Repositoryerstellung in deiner Organisation |
| Deaktiviere das Löschen und Übertragen von Repositorys. | Berechtigungen zum Löschen oder Übertragen von Repositorys festlegen |
| Lege den Bereich für personal access token auf die erforderlichen Mindestberechtigungen fest. | Keine |
| Schütze deinen Code, indem du öffentliche Repositorys bei Bedarf in private konvertierst. Du kannst die Repositorybesitzer*innen automatisch über eine GitHub App über diese Änderung benachrichtigen. | Verhindern öffentlicher Repositorys in GitHub Marketplace |
| Bestätige die Identität deiner Organisation, indem du deine Domäne überprüfst und E-Mail-Benachrichtigungen nur auf überprüfte E-Mail-Domänen beschränkst. | "Überprüfen oder Genehmigen einer Domäne für deine Organisation" and "Einschränken von E-Mail-Benachrichtigungen für deine Organisation" |
| Organisationen können ein Upgrade von den Standard-Nutzungsbedingungen auf die GitHub-Kundenvereinbarung durchführen. | Upgrade auf den GitHub-Kundenvereinbarung |
| Verhindere, dass Mitwirkende versehentlich Commits durchführen. | Entfernen vertraulicher Daten aus einem Repository |
Erkennen von Datenlecks
Unabhängig davon, wie gut du deine Organisation stärkst, um Datenlecks zu verhindern, können einige immer noch auftreten, und du kannst mit secret scanning, dem Überwachungsprotokoll und Branchschutzregeln darauf reagieren.
Verwenden von secret scanning
Secret scanning hilft dabei, Code zu sichern und Geheimnisse in Organisationen und Repositorys zu schützen, indem Geheimnisse überprüft und erkannt werden, die versehentlich über den vollständigen Git-Verlauf jedes Branchs in GitHub-Repositorys übertragen wurden. Für alle Zeichenfolgen, die mit Mustern übereinstimmen, die von Partnern für die Geheimnisüberprüfung oder anderen Dienstanbietern angegeben oder von dir oder deiner Organisation definiert wurden, werden Warnmeldungen auf der Registerkarte Sicherheit der Repositorys angezeigt.
Es stehen zwei Arten von secret scanning zur Verfügung: Warnungen zur Geheimnisüberprüfung für Partner und Warnungen zur Geheimnisüberprüfung für Benutzer*innen .
-
Warnungen zur Geheimnisüberprüfung für Partner: Diese werden standardmäßig aktiviert und werden automatisch in allen öffentlichen Repositorys und öffentlichen npm-Paketen ausgeführt.
-
Warnungen zur Geheimnisüberprüfung für Benutzerinnen: Um zusätzliche Überprüfungsfunktionen für deine Organisation erhalten, musst du Warnungen zur Geheimnisüberprüfung für Benutzerinnen aktivieren.
Bei Aktivierung kann Warnungen zur Geheimnisüberprüfung für Benutzer*innen für die folgenden Repositorytypen erkannt werden: verfügen
- Öffentliche Repositorys im Besitz von Organisationen, die GitHub Enterprise Cloud verwenden (kostenlos)
- Private und interne Repositorys, wenn Sie über eine Lizenz für GitHub Advanced Security verfügen
Weitere Informationen zu secret scanning findest du unter Informationen zur Geheimnisüberprüfung.
Du kannst secret scanning auch als Pushschutz für ein Repository oder eine Organisation aktivieren. Wenn du dieses Feature aktivierst, verhindert secret scanning, dass Mitwirkende Code mit einem erkannten Geheimnis pushen. Weitere Informationen findest du Pushschutz für Repositorys und Organisationen. Schließlich kannst du die Erkennung auch auf benutzerdefinierte geheime Zeichenfolgenstrukturen erweitern. Weitere Informationen findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.
Überprüfen des Auditprotokolls deiner Organisation
Du kannst IP-Adressen proaktiv schützen und die Compliance für deine Organisation sicherstellen, indem du das Überwachungsprotokoll deiner Organisation zusammen mit der Überwachungsprotokoll-API von GraphQL nutzt. Weitere Informationen findest du unter Auditprotokoll deiner Organisation überprüfen und unter Schnittstellen.
Einrichten von Branchschutzregeln
Um sicherzustellen, dass der gesamte Code ordnungsgemäß überprüft wird, bevor er mit dem Standardbranch zusammengeführt wird, kannst du den Branchschutz aktivieren. Durch Festlegen von Branchschutzregeln kannst du bestimmte Workflows oder Anforderungen erzwingen, bevor eine Mitwirkender Änderungen pushen kann. Weitere Informationen findest du unter Informationen zu geschützten Branches.
Alternativ zu Verzweigungsschutzregeln oder den Tagschutz können Sie auch Regelsätze erstellen. Regelsätze haben einige Vorteile gegenüber Verzweigungs- und Tag-Schutzregeln, wie z. B. Status und bessere Auffindbarkeit, ohne dass ein Admin-Zugang erforderlich ist. Sie können auch mehrere Regelsätze gleichzeitig anwenden. Weitere Informationen findest du unter Informationen zu Regelsätzen.
Minimieren von Datenlecks
Wenn eine Benutzerin vertrauliche Daten pusht, bitte ihn oder sie, sie mithilfe des git filter-repo-Tools oder des Open-Source-Tools BFG Repo-Cleaner zu entfernen. Weitere Informationen findest du unter Entfernen vertraulicher Daten aus einem Repository. Außerdem ist es möglich, fast alles in Git rückgängig zu machen. Weitere Informationen findest du unter the GitHub Blog.
Wenn du dich auf Organisationsebene nicht mit dem Benutzer bzw. der Benutzerin abstimmen kannst, der oder die die vertraulichen Daten per Push übertragen hat, um sie zu entfernen, wird empfohlen, den GitHub-Support mit dem entsprechenden Commit-SHA zu kontaktieren.
Wenn du dich nicht direkt mit demder Repositorybesitzerin abstimmen kannst, um Daten zu entfernen, von denen du sicher sind, dass du derdie Besitzerin bist, kannst du ein DMCA-Benachrichtigungsformular ausfüllen und den GitHub-Support informieren. Weitere Informationen findest du unter DMCA Takedown-Mitteilung.
Hinweis: Wenn eines deiner Repositorys aufgrund eines falschen Anspruchs entfernt wurde, solltest du ein DMCA-Widerspruchsformular ausfüllen und den GitHub-Support benachrichtigen. Weitere Informationen findest du unter DMCA-Widerspruchsformular.