Einführung
In diesem Leitfaden wird erläutert, wie du Sicherheitsfeatures für eine Organisation konfigurierst. Die Sicherheitsanforderungen deiner Organisation sind einzigartig, und du musst möglicherweise nicht jedes Sicherheitsfeature aktivieren. Weitere Informationen findest du unter GitHub-Sicherheitsfeatures.
Einige Features sind für Repositorys in allen Plänen verfügbar. Zusätzliche Features stehen Unternehmen zur Verfügung, die GitHub Advanced Security verwenden. GitHub Advanced Security-Features (außer der Sicherheitsübersicht) sind für alle öffentlichen Repositorys auf GitHub.com aktiviert. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.
Verwalten von Zugriff auf deine Organisation
Du kannst Rollen verwenden, um zu steuern, welche Aktionen Personen in deiner Organisation ausführen können. Du kannst beispielsweise die Rolle des Sicherheitsmanagers einem Team zuweisen, um den Teammitgliedern die Möglichkeit zu geben, Sicherheitseinstellungen organisationsweit zu verwalten, und du kannst Lesezugriff auf alle Repositorys gewähren. Weitere Informationen findest du unter Rollen in einer Organisation.
Erstellen einer Standardsicherheitsrichtlinie
Du kannst eine Standardsicherheitsrichtlinie erstellen, die in allen öffentlichen Repositorys deiner Organisation angezeigt wird, die keine eigene Sicherheitsrichtlinie haben. Weitere Informationen findest du unter Erstellen einer Standard-Communityintegritätsdatei.
Verwalten von Dependabot alerts und dem Abhängigkeitsdiagramm
Von GitHub werden Sicherheitsrisiken in öffentlichen Repositorys erkannt, und es wird das Abhängigkeitsdiagramm angezeigt. Du kannst Dependabot alerts für alle öffentlichen Repositorys, die deiner Organisation gehören, aktivieren oder deaktivieren. Du kannst Dependabot alerts und das Abhängigkeitsdiagramm für alle privaten Repositorys, die deiner Organisation gehören, aktivieren oder deaktivieren.
- Klicke auf dein Profilfoto und dann auf Organizations (Organisationen).
- Klicke neben deiner Organisation auf Settings (Einstellungen).
- Klicke auf Security & Analysis (Sicherheit und Analyse).
- Klicke neben dem Feature, das du verwalten möchtest, auf Enable all (Alle aktivieren) oder Disable all (Alle deaktivieren).
- Wähle optional Automatically enable for new repositories (Automatisch für neue Repositorys aktivieren) aus.
Weitere Informationen findest du unter Informationen zu Dependabot alerts, Untersuchen der Abhängigkeiten eines Repositorys und Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.
Verwalten der Abhängigkeitsüberprüfung
Die Abhängigkeitsüberprüfung ist ein Advanced Security-Feature, mit dem du Abhängigkeitsänderungen in Pull Requests visualisieren kannst, bevor sie in deine Repositorys zusammengeführt werden. Weitere Informationen findest du unter Informationen zur Abhängigkeitsprüfung.
Die Abhängigkeitsüberprüfung ist bereits für alle öffentlichen Repositorys aktiviert. Für private und interne Repositorys, die einer Organisation gehören, kannst du die Abhängigkeitsüberprüfung aktivieren, indem du das Abhängigkeitsdiagramm und Advanced Security aktivierst (siehe unten).
Verwalten von Dependabot security updates
Für jedes Repository, für das Dependabot alerts verwendet werden, kannst du Dependabot security updates aktivieren, um Pull Requests mit Sicherheitsupdates auszulösen, wenn Sicherheitsrisiken erkannt werden. Du kannst auch Dependabot security updates für alle Repositorys in deiner Organisation aktivieren oder deaktivieren.
- Klicke auf dein Profilfoto und dann auf Organizations (Organisationen).
- Klicke neben deiner Organisation auf Settings (Einstellungen).
- Klicke auf Security & Analysis (Sicherheit und Analyse).
- Klicke neben Dependabot security updates auf Enable all (Alle aktivieren) oder Disable all (Alle deaktivieren).
- Wähle optional Automatically enable for new repositories (Automatisch für neue Repositorys aktivieren) aus.
Weitere Informationen findest du unter Informationen zu Dependabot security updates und Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.
Verwalten von Dependabot version updates
Du kannst Dependabot zur automatisch Generierung von Pull Requests aktivieren, um deine Abhängigkeiten auf dem neuesten Stand zu halten. Weitere Informationen findest du unter Informationen zu Dependabot version updates.
Zum Aktivieren von Dependabot version updates musst du eine dependabot.yml-Konfigurationsdatei erstellen. Weitere Informationen findest du unter Konfigurieren von Dependabot-Versionsupdates.
Verwalten von GitHub Advanced Security
Wenn deine Organisation einem Unternehmen gehört, das über eine Advanced Security-Lizenz verfügt, kannst du Advanced Security-Features aktivieren oder deaktivieren.
- Klicke auf dein Profilfoto und dann auf Organizations (Organisationen).
- Klicke neben deiner Organisation auf Settings (Einstellungen).
- Klicke auf Security & Analysis (Sicherheit und Analyse).
- Klicke neben GitHub Advanced Security auf Enable all (Alle aktivieren) oder Disable all (Alle deaktivieren).
- Wähle optional Automatically enable for new private repositories (Automatisch für neue private Repositorys aktivieren) aus.
Weitere Informationen findest du unter Informationen zu GitHub Advanced Security und Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.
Konfigurieren von secret scanning
Secret scanning ist ein Advanced Security-Feature, mit dem Repositorys nach Geheimnissen überprüft werden, die unsicher gespeichert sind.
Secret scanning ist bereits für alle öffentlichen Repositorys aktiviert. Organisationen, die GitHub Enterprise Cloud mit Advanced Security verwenden, können zusätzlich secret scanning für private und interne Repositorys aktivieren.
Du kannst secret scanning für alle Repositorys in deiner Organisation aktivieren oder deaktivieren, für die Advanced Security aktiviert ist.
- Klicke auf dein Profilfoto und dann auf Organizations (Organisationen).
- Klicke neben deiner Organisation auf Settings (Einstellungen).
- Klicke auf Security & Analysis (Sicherheit und Analyse).
- Klicke neben Secret scanning auf Enable all (Alle aktivieren) oder Disable all (Alle deaktivieren) (nur bei GitHub Advanced Security-Repositorys).
- Wähle optional Automatisch für zu Advanced Security hinzugefügte private Repositorys aktivierenaus.
Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.
Konfigurieren von code scanning
ist ein Advanced Security-Feature, mit dem Code auf Sicherheitsrisiken und Fehler überprüft wird.
ist für alle öffentlichen Repositorys verfügbar. Organisationen, die GitHub Enterprise Cloud mit Advanced Security verwenden, können zusätzlich code scanning für private und interne Repositorys verwenden.
wird auf Repositoryebene konfiguriert. Weitere Informationen findest du unter Konfigurieren der code scanning für ein Repository.
Nächste Schritte
Du kannst Warnungen von Sicherheitsfeatures anzeigen und verwalten, um Abhängigkeiten und Sicherheitsrisiken in deinem Code zu bearbeiten. Weitere Informationen findest du unter Anzeigen und Aktualisieren von Dependabot alerts, Verwalten von Pull Requests für Abhängigkeitsupdates, Verwalten von code scanning für dein Repository und Verwalten von Warnungen der secret scanning.
Wenn ein Sicherheitsrisiko besteht, kannst du eine Sicherheitsempfehlung erstellen, um das Sicherheitsrisiko privat zu besprechen und zu beheben. Weitere Informationen findest du unter Informationen zu Sicherheitsempfehlungen für Repositorys sowie unter Einen Sicherheitshinweis erstellen.
Du kannst Sicherheitsbenachrichtigungen für Repositorys im Besitz deiner Organisation in der Sicherheitsübersicht anzeigen, filtern und sortieren. Weitere Informationen findest du unter Informationen zur Sicherheitsübersicht.