Konfigurieren globaler Sicherheitseinstellungen für Ihre Organisation

Passen Sie GitHub Advanced Security Features an und erstellen Sie Sicherheitsmanager, um die Sicherheit Ihrer Organisation zu stärken.

Wer kann dieses Feature verwenden?

Organisationsbesitzer und Sicherheitsmanager können security configurations und global settings für eine Organisation verwalten.

In diesem Artikel

Hinweis: Container registry befindet sich für GitHub Enterprise Cloud derzeit in der Betaphase und kann noch geändert werden. Informationen zu diesen Features finden Sie in der Feedback-Diskussion.

Wie Sie sich von security configurations und global settings abmelden können, erfahren Sie unter „Early-Access-Versionen mit Funktionsvorschau erkunden“.

Informationen zu global settings

Neben security configurations, die die Sicherheitseinstellungen auf Repository-Ebene festlegen, sollten Sie auch global settings für Ihre Organisation konfigurieren. Global settings gelten für Ihre gesamte Organisation, und Sie können GitHub Advanced Security Features nach Ihren Bedürfnissen anpassen. Sie können auch Sicherheitsmanager auf der Seite global settings erstellen, um die Sicherheit Ihrer Organisation zu überwachen und zu pflegen.

Zugreifen auf die Seite global settings für Ihre Organisation

  1. Wähle in der oberen rechten Ecke von GitHub.com dein Profilfoto aus. Klicke dann auf Deine Organisationen.

    Screenshot des Dropdownmenüs unter dem Profilbild von @octocat. „Deine Organisationen“ ist in dunklem Orange eingerahmt.

  2. Klicke unter deinem Organisationsnamen auf die Option Einstellungen. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot der Registerkarten im Profil einer Organisation. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Wählen Sie im Abschnitt „Sicherheit“ in der Seitenleiste das Einblendmenü Code-Sicherheit und klicken Sie dann auf Global settings.

Konfigurieren der globalen Dependabot-Einstellungen

Dependabot besteht aus drei verschiedenen Features, mit denen du Abhängigkeiten verwalten kannst:

  • Dependabot alerts informiert dich über Sicherheitsrisiken in den Abhängigkeiten, die du in deinem Repository verwendest.
  • Dependabot security updates löst automatisch Pull Requests aus, um von dir verwendete Abhängigkeiten zu aktualisieren, die bekannte Sicherheitsrisiken aufweisen.
  • Dependabot version updates löst automatisch Pull Requests aus, um deine Abhängigkeiten auf dem neuesten Stand zu halten.

Sie können mehrere global settings für Dependabot anpassen:

Erstellen und Verwalten von Dependabot auto-triage rules

Sie können Dependabot auto-triage rules erstellen und verwalten, um Dependabot anzuweisen, Dependabot alerts automatisch zu verwerfen oder in den Standbymodus zu versetzen, und sogar Pull Requests öffnen, um zu versuchen, sie zu lösen. Um Dependabot auto-triage rules zu konfigurieren, klicken Sie auf und erstellen oder bearbeiten dann eine Regel:

  • Sie können eine neue Regel erstellen, indem Sie auf Neue Regel klicken, dann die Details für Ihre Regel eingeben und auf Regel erstellen klicken.
  • Sie können eine bestehende Regel bearbeiten, indem Sie auf klicken, dann die gewünschten Änderungen vornehmen und auf Regel speichern klicken.

Weitere Informationen zu Dependabot auto-triage rules finden Sie unter „Über Auto-Triage-Regeln von Dependabot“ und „Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen“.

Gruppieren von Dependabot security updates

Dependabot kann alle automatisch vorgeschlagenen Sicherheitsupdates in einer einzigen Pull Request zusammenfassen, um das Rauschen zu reduzieren. Um gruppierte Sicherheitsupdates zu aktivieren, wählen Sie Gruppierte Sicherheitsupdates. Weitere Informationen über gruppierte Updates und Anpassungsoptionen finden Sie unter „Konfigurieren von Dependabot-Sicherheitsupdates“.

Aktivieren von Dependabot für GitHub-gehostete Runner

Sie können Dependabot erlauben, die von GitHub gehosteten Runner und die Aktion Dependabot zu verwenden, um Updates von Abhängigkeiten durchzuführen. Um Dependabot für GitHub-gehostete Runner auf allen Repositories in Ihrer Organisation zu aktivieren, klicken Sie auf Alle aktivieren. Um Dependabot für GitHub-gehostete Runner auf neuen Repositories in Ihrer Organisation automatisch zu aktivieren, wählen Sie Automatisch für neue Repositories aktivieren. Weitere Informationen findest du unter Informationen zu Dependabot über GitHub Actions-Runner.

Dependabot Zugriff auf private und interne

Repositories gewähren

Um private Abhängigkeiten von Repositories in Ihrer Organisation zu aktualisieren, benötigt Dependabot Zugriff auf diese Repositories. Um Dependabot Zugriff auf das gewünschte private oder interne Repository zu gewähren, scrollen Sie nach unten zum Abschnitt „Dependabot Zugriff auf private Repositories gewähren“ und verwenden Sie dann die Suchleiste, um das gewünschte Repository zu finden und auszuwählen. Beachten Sie, wenn Sie Dependabot Zugriff auf ein Repository gewähren, alle Benutzer in Ihrer Organisation über Dependabot updates Zugriff auf den Inhalt dieses Repositorys haben. Weitere Informationen über die unterstützten Ökosysteme für private Repositories finden Sie unter „Informationen zu Updates von Dependabot-Versionen“.

Konfigurieren von globalen code scanning Einstellungen

Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codefehler zu finden. Alle von der Analyse ermittelten Probleme werden im Repository angezeigt.

Sie können mehrere global settings für code scanning anpassen:

Empfehlung der erweiterten Abfragesuite für die Standardeinstellung

Code scanning bietet spezifische Gruppen von CodeQL Abfragen, genannt CodeQL Abfragesuiten, die Sie gegen Ihren Code ausführen können. Standardmäßig wird die Abfragesuite „Standard“ ausgeführt. GitHub bietet auch die Abfragesuite „Erweitert“, die alle Abfragen der Abfragesuite „Standard“ sowie zusätzliche Abfragen mit geringerer Genauigkeit und niedrigerem Schweregrad enthält. Um die „Erweiterte“ Abfragesuite in Ihrer Organisation vorzuschlagen, wählen Sie Empfehlen der erweiterten Abfragesuite für Repositories zur Aktivierung der Standardeinstellungen. Weitere Informationen über integrierte Abfragesuiten für CodeQL Standardeinstellungen finden Sie unter „CodeQL-Abfragesammlungen“.

Aktivieren von Autofix für CodeQL

Sie können Autofix für CodeQL auswählen, um Autofix für alle Repositories in Ihrer Organisation zu aktivieren, die CodeQL Standardeinstellung oder CodeQL erweiterte Einstellung verwenden. Autofix ist eine von GitHub Copilot gestützte Erweiterung von code scanning, die Korrekturen für code scanning Warnungen in Pull Requests vorschlägt. Weitere Informationen findest du unter Informationen über Autofix für CodeQL Codeüberprüfung.

Festlegen eines Fehlerschwellewerts für code scanning Prüfungen in Pull Requests

Sie können die Schweregrade wählen, bei denen code scanning Prüfdurchläufe auf Pull Requests fehlschlagen. Um einen Sicherheitsschweregrad auszuwählen, wählen Sie das Einblendmenü Sicherheit: SICHERHEITSSCHWEREGRAD und klicken Sie dann auf einen Sicherheitsschweregrad. Um einen Alarmschweregrad auszuwählen, wählen Sie das Einblendmenü ANDERE: ALARMSCHWEREGRAD und klicken dann auf einen Alarmschweregrad. Weitere Informationen findest du unter Informationen zu Codeüberprüfungswarnungen.

Konfigurieren von globalen secret scanning Einstellungen

Secret scanning ist ein Sicherheitstool, das die gesamte Git-Historie Ihres Repositorys sowie Issues, Pull Requests und Diskussionen in diesem Repository auf geleakte Geheimnisse durchsucht, die versehentlich übergeben wurden, wie Tokens oder private Schlüssel.

Sie können mehrere global settings für secret scanning anpassen:

Automatische Überprüfung von Partner-Mustergeheimnissen

Um die Rate der falsch-positiven secret scanning Alarme zu reduzieren, können Sie die Gültigkeit einiger Partner-Mustergeheimnisse automatisch überprüfen, indem Sie jedes Geheimnis an den Anbieter senden. Um diese automatische Überprüfung zu aktivieren, wählen Sie Automatisch überprüfen, ob ein Geheimnis gültig ist, indem es an den entsprechenden Partner gesendet wird. Weitere Informationen darüber, welche Partner Gültigkeitsüberprüfungen unterstützen, finden Sie unter „Verwalten von Warnungen aus der Geheimnisüberprüfung“.

Suche nach Nicht-Anbietermustern

Sie können nach Nicht-Anbietermustern wie privaten Schlüsseln suchen, um Geheimnisse von Nicht-Anbietern zu erkennen, bevor sie nach außen dringen. Um diese Überprüfungen zu aktivieren, wählen Sie Suche nach Nicht-Anbietermustern. Beachten Sie, dass Token von Nicht-Anbietern oft eine höhere Rate an falsch positiven Ergebnissen aufweisen. Mehr über Nicht-Anbietermuster erfahren Sie unter „Geheimnisüberprüfungsmuster“ und „Verwalten von Warnungen aus der Geheimnisüberprüfung“.

Hinweis: Die Erkennung von Nicht-Anbietermustern befindet sich derzeit in der Betaversion und kann geändert werden.

Wenn secret scanning eine Übertragung blockiert, können Sie einen Link mit weiteren Informationen anzeigen, warum die Übertragung blockiert wurde, um den Entwicklern einen Kontext zu bieten. Um einen Link einzubinden, wählen Sie Hinzufügen eines Ressourcenlinks in der CLI und der Web-UI, wenn eine Übertragung blockiert ist. Geben Sie in das Textfeld den Link zu der gewünschten Ressource ein und klicken Sie dann auf Speichern.

Definieren benutzerdefinierter Muster

Sie können eigene Muster für secret scanning mit regulären Ausdrücken definieren. Benutzerdefinierte Muster können Geheimnisse erkennen, die von den Standardmustern, die von secret scanning unterstützt werden, nicht erkannt werden. Um ein benutzerdefiniertes Muster zu erstellen, klicken Sie auf Neues Muster, geben Sie dann die Details für Ihr Muster ein und klicken Sie auf Speichern und Trockenlauf. Weitere Informationen zu benutzerdefinierten Mustern finden Sie unter „Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung“.

Erstellung von Sicherheitsmanagern für Ihre Organisation

Die Rolle des Sicherheitsmanagers gibt Mitgliedern Ihrer Organisation die Möglichkeit, Sicherheitseinstellungen und Warnmeldungen in Ihrer gesamten Organisation zu verwalten. Um allen Mitgliedern eines Teams die Rolle des Sicherheitsmanagers zuzuweisen, geben Sie im Textfeld „Nach Teams suchen“ den Namen des gewünschten Teams ein. Klicken Sie in dem erscheinenden Einblendmenü auf das Team und dann auf Ich verstehe, erteile Sicherheitsmanager-Berechtigungen.

Sicherheitsverantwortliche können über die Sicherheitsübersicht die Daten für alle Repositories in Ihrer Organisation einsehen. Weitere Informationen über die Rolle des Sicherheitsmanagers finden Sie unter „AUTOTITEL“.