Code security guides
Hier erfährst du, wie du mit GitHub Enterprise Cloud die Sicherheit deines Codes verbessern kannst.
Beheben und Offenlegen eines Sicherheitsrisikos
Verwenden von Empfehlungen zur Repositorysicherheit, um ein gemeldetes Sicherheitsrisiko privat zu beheben und eine CVE zu erhalten.Lernpfad starten- 1Übersicht
Informationen zur koordinierten Offenlegung von Sicherheitsrisiken
Die Offenlegung von Sicherheitsrisiken ist eine koordinierte Anstrengung zwischen den Erstellern von Sicherheitsberichten und Maintainern des Repositorys. - 2Übersicht
Informationen zu GitHub Advisory Database
GitHub Advisory Database enthält eine Liste bekannter Sicherheitsrisiken und Malware, , die in die beiden Kategorien „Empfehlungen, die von GitHub überprüft wurden“ und „nicht überprüfte Empfehlungen“ gruppiert sind. - 3Übersicht
Informationen zu globalen Sicherheitsempfehlungen
Globale Sicherheitsempfehlungen befinden sich in der GitHub Advisory Database, einer Sammlung von CVEs und aus GitHub stammenden Empfehlungen für die Open-Source-Welt. Du kannst zur Verbesserung der globalen Sicherheitsempfehlungen beitragen. - 4Übersicht
Informationen zu Sicherheitsempfehlungen für Repositorys
Mit Sicherheitsempfehlungen für Repositorys können Informationen zu Sicherheitsrisiken in deinem Repository privat diskutiert, behoben und veröffentlicht werden. - 5Schrittanleitung
Best practices for writing repository security advisories
When you create or edit security advisories, the information you provide is easier for other users to understand when you specify the ecosystem, package name, and affected versions using the standard formats. - 6Schrittanleitung
Privates Melden eines Sicherheitsrisikos
Bei einigen öffentlichen Repositorys sind die Sicherheitsempfehlungen so konfiguriert, dass jede Person Sicherheitsrisiken direkt und privat an die Maintainer*innen melden kann. - 7Schrittanleitung
Verwalten privat gemeldeter Sicherheitsrisiken
Repository-Maintainer können Sicherheitsrisiken verwalten, die privat von Sicherheitsforschern für Repositorys gemeldet wurden, in denen private Sicherheitsrisikomeldungen aktiviert sind. - 8Schrittanleitung
Configuring private vulnerability reporting for a repository
Owners and administrators of public repositories can allow security researchers to report vulnerabilities securely in the repository by enabling private vulnerability reporting. - 9Schrittanleitung
Configuring private vulnerability reporting for an organization
Organization owners and security managers can allow security researchers to report vulnerabilities securely in repositories within the organization by enabling private vulnerability reporting for all its public repositories. - 10Schrittanleitung
Erstellen einer Sicherheitsempfehlung für ein Repository
Du kannst einen Entwurf eines Sicherheitshinweises erstellen, um privat über die Sicherheitslücke in Deinem Open-Source-Projekt zu diskutieren und sie zu beheben. - 11Schrittanleitung
Adding a collaborator to a repository security advisory
You can add other users or teams to collaborate on a security advisory with you. - 12Schrittanleitung
Zusammenarbeit in einem temporären privaten Fork, um eine Sicherheitslücke im Repository zu beheben
Du kannst einen temporären privaten Fork erstellen, um privat an der Behebung einer Sicherheitslücke in Deinem Repository zusammenzuarbeiten. - 13Schrittanleitung
Publishing a repository security advisory
You can publish a security advisory to alert your community about a security vulnerability in your project. - 14Schrittanleitung
Bearbeiten einer Sicherheitsempfehlung für ein Repository
Du kannst die Metadaten und die Beschreibung für einen Sicherheitshinweis zu einem Repository bearbeiten, wenn du Details aktualisieren oder Fehler korrigieren musst. - 15Schrittanleitung
Hinweis: Dieser Artikel gilt für die Bearbeitung von Empfehlungen auf Repositoryebene als Repositorybesitzer. Benutzer, die keine Repositorybesitzer sind, können zu globalen Sicherheitsempfehlungen in der GitHub Advisory Database unter github.com/advisories beitragen. Die Bearbeitung globaler Empfehlungen hat keine Auswirkungen auf die Darstellung der Empfehlung im Repository. Weitere Informationen findest du unter Editing security advisories in the GitHub Advisory Database.
Wenn du einen Sicherheitshinweis fälschlicherweise veröffentlichst, kannst du den Hinweis zurückziehen, indem du GitHub-Support kontaktierst. - 16Schrittanleitung
Entfernen eines Mitarbeiters aus einer Sicherheitsempfehlung für ein Repository
Wenn du Projektmitarbeiter*innen aus einer Repositorysicherheitsempfehlung entfernst, verlieren sie Lese- und Schreibzugriff auf die Diskussionen und Metadaten der Sicherheitsempfehlung.
Code security learning paths
Abrufen von Benachrichtigungen über unsichere Abhängigkeiten
Richte Dependabot dazu ein, dich vor neuen Sicherheitsrisiken oder Malware in deinen Abhängigkeiten zu warnen.
Abrufen von Pullanforderungen zum Aktualisieren deiner anfälligen Abhängigkeiten
Richte Dependabot ein, um Pull Requests zu erstellen, wenn neue Sicherheitsrisiken gemeldet werden.
Halte deine Abhängigkeiten auf dem neuesten Stand
Suche mit Dependabot nach neuen Releases, und erstelle Pull Requests, um deine Abhängigkeiten zu aktualisieren.
Erkunden und Verwalten von Sicherheitswarnungen
Erfahre, wo du Sicherheitswarnungen finden und auflösen kannst.
Suchen nach Geheimnissen
Richte zum Schutz vor versehentlichem Einchecken von Token, Kennwörtern und anderen Geheimnissen in dein Repository Überprüfungen auf Geheimnisse ein.
Ausführen der Codeüberprüfung mit GitHub Actions
Überprüfe deinen Standardbranch und jeden Pull Request, um dein Repository von Sicherheitsrisiken und Fehlern freizuhalten.
Ausführen der CodeQL-Codeüberprüfung in deiner CI
Richte CodeQL innerhalb deiner vorhandenen CI ein, und lade Ergebnisse in die GitHub-Codeüberprüfung hoch.
Integration in die Codeüberprüfung
Lade Codeanalyseergebnisse aus Drittanbietersystemen mit SARIF in GitHub hoch.
End-to-End-Lieferkette
Wie du deine Benutzerkonten, deinen Code und deinen Buildvorgang sichern solltest.
All Code security guides
Adding a security policy to your repository
SchrittanleitungYou can give instructions for how to report a security vulnerability in your project by adding a security policy to your repository.
- Security policies
- Vulnerabilities
- Repositories
- Health
GitHub-Sicherheitsfeatures
ÜbersichtEine Übersicht der Sicherheitsfeatures von GitHub.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Schützen deiner Organisation
SchrittanleitungDir stehen einige GitHub-Features zur Verfügung, um deine Organisation zu schützen.
- Organizations
- Dependencies
- Vulnerabilities
- Advanced Security
Repository schützen
SchrittanleitungDir stehen einige GitHub-Features zur Verfügung, um dein Repository zu schützen.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Prüfen von Sicherheitswarnungen
ÜbersichtGitHub bietet eine Reihe von Tools, mit denen du die als Reaktion auf Sicherheitswarnungen ergriffenen Aktionen prüfen und überwachen kannst.
- Repositories
- Dependencies
- Vulnerabilities
- Security
- Advanced Security
Informationen zur Geheimnisüberprüfung
ÜbersichtGitHub Enterprise Cloud überprüft Repositorys auf bekannte Geheimnistypen, um das betrügerische Verwenden von Geheimnissen zu verhindern, die aus Versehen committet wurden.
- Secret scanning
- Advanced Security
- Schrittanleitung
Aktivieren von Warnungen zur Geheimnisüberprüfung für Benutzer*innen
- Secret scanning
- Advanced Security
- Repositories
Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung
SchrittanleitungDu kannst secret scanning erweitern, um Geheimnisse zu erkennen, die über die Standardmuster hinausgehen.
- Advanced Security
- Secret scanning
Verwalten von Warnungen aus der Geheimnisüberprüfung
SchrittanleitungDu kannst Warnungen für Geheimnisse, die in deinem Repository geprüft wurden, anzeigen und schließen.
- Secret scanning
- Advanced Security
- Alerts
- Repositories