Interpretieren von Sicherheitsergebnissen

Sie können Sicherheitsdaten bezüglich Repositorys in Ihrer Organisation analysieren, um festzustellen, ob Sie Änderungen an Ihren Sicherheitseinstellungen vornehmen müssen.

Wer kann dieses Feature verwenden?

Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Organisationsmitglieder mit der Administratorrolle

In diesem Artikel

Info zu Sicherheitsergebnisse

Nachdem Sie ein security configuration auf ein Repository angewendet haben, liefern die aktivierten Sicherheitsfeatures wahrscheinlich Sicherheitsergebnisse für dieses Repository. Diese Ergebnisse können als featurespezifische Warnungen oder als automatisch generierte Pull Requests angezeigt werden, die so konzipiert sind, dass Ihr Repository sicher bleibt. Zum bestmöglichen Schutz Ihrer Organisation sollten Sie Mitwirkende an diesen Repositorys ermutigen, diese Warnungen und Pull Requests zu überprüfen und zu beheben. Sie können die Ergebnisse in der gesamten Organisation analysieren und erforderliche Anpassungen an der security configuration vornehmen.

Suchen von Repositorys mit Sicherheitswarnungen mithilfe der Sicherheitsübersicht

Die Informationen, die über die Sicherheitsübersicht angezeigt werden, variieren je nach Ihrem Zugriff auf Repositorys und Organisationen und je nachdem, ob GitHub Advanced Security von diesen Repositorys und Organisationen verwendet werden. Weitere Informationen findest du unter Informationen zur Sicherheitsübersicht.

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Standardmäßig werden in der Übersicht Warnungen für alle nativen GitHub-Tools angezeigt (Filter: tool:github). Um Warnungen für ein bestimmtes Tool anzuzeigen, ersetzen Sie tool:github im Textfeld des Filters. Zum Beispiel:

    • tool:dependabot, um nur Warnungen für Abhängigkeiten anzuzeigen, die von Dependabot identifiziert wurden.
    • tool:secret-scanning, um nur Warnungen für Geheimnisse anzuzeigen, die von secret scanning identifiziert wurden.
    • tool:codeql, um nur Warnungen für mögliche Sicherheitsrisiken anzuzeigen, die von CodeQL code scanning identifiziert wurden.

  4. Sie können weitere Filter hinzufügen, um nur die Repositorys anzuzeigen, die Sie bewerten möchten. Die Liste der Repositorys und Metriken, die auf der Seite angezeigt werden, wird automatisch aktualisiert, um deiner aktuellen Auswahl zu entsprechen. Weitere Informationen zur Filterung findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

    • Verwende das Dropdownmenü Teams, um nur Informationen zu Repositorys anzuzeigen, die einem oder mehreren Teams gehören.
    • Klicke im Header beliebiger Features auf ANZAHL betroffen oder ANZAHL nicht betroffen, um nur Repositorys mit offenen oder ohne offene Warnungen dieses Typs anzuzeigen.
    • Klicke im Header auf eine der Beschreibungen von „Offene Warnungen“, um nur Repositorys mit Warnungen dieses Typs und dieser Kategorie anzuzeigen. 1 kritisch zeigt z. B. nur das Repository mit einer kritischen Warnung für Dependabot an.
    • Klicke oben in der Liste der Repositorys auf ANZAHL Archiviert, um nur archivierte Repositorys anzuzeigen.

  5. Du kannst auch die Randleiste auf der linken Seite verwenden, um Warnungen für ein bestimmtes Sicherheitsfeature ausführlicher zu untersuchen. Auf jeder Seite kannst du für das betreffende Feature spezifische Filter verwenden, um deine Suche zu optimieren. Weitere Informationen zu den verfügbaren Qualifizierern findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

Interpretieren von secret scanning-Warnungen

Secret scanning ist ein Sicherheitstool, das den gesamten Git-Verlauf von Repositorys sowie die Probleme, Pull Requests und Diskussionen in diesen Repositorys auf offengelegte Geheimnisse durchsucht, die versehentlich übergeben wurden, wie etwa Token oder private Schlüssel. Es gibt zwei Arten von secret scanning-Warnungen:

  • Warnungen zur Geheimnisüberprüfung für Partner, die an den Anbieter gesendet werden, der den geheimen Schlüssel ausgeben hat
  • Warnungen zur Geheimnisüberprüfung für Benutzer*innen, die in GitHub Enterprise Cloud angezeigt werden und aufgelöst werden können

Sie können die secret scanning-Warnungen für eine Organisation anzeigen, indem Sie zur Hauptseite der betreffenden Organisation navigieren, auf die Registerkarte Sicherheit klicken und dann auf Secret scanning.

Eine Einführung in secret scanning-Warnungen finden Sie unter Informationen zu Warnungen zur Geheimnisüberprüfung.

Informationen zum Bewerten von secret scanning-Warnungen finden Sie unter „Bewerten von Warnungen aus der Geheimnisüberprüfung“.

Interpretieren von code scanning-Warnungen

Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codefehler zu finden. Alle von der Analyse ermittelten Probleme werden im Repository angezeigt. Diese Probleme werden als code scanning-Warnungen behandelt, die detaillierte Informationen zur Verwundbarkeit oder zum erkannten Fehler enthalten.

Sie können die code scanning-Warnungen für eine Organisation anzeigen, indem Sie zur Hauptseite der betreffenden Organisation navigieren, auf die Registerkarte Sicherheit klicken und dann auf Code scanning.

Eine Einführung in code scanning-Warnungen finden Sie unter Informationen zu Codeüberprüfungswarnungen.

Informationen dazu, wie Sie code scanning-Warnungen interpretieren und beheben können, finden Sie unter „Bewerten von Warnungen der Codeüberprüfung für das Repository“ und „Problemlösung für Warnungen der Codeüberprüfung“.

Interpretieren von Dependabot alerts

Dependabot alerts informieren Sie über Schwachstellen in den Abhängigkeiten, die Sie in Repositorys in Ihrer Organisation verwenden. Sie können Dependabot alerts für eine Organisation anzeigen, indem Sie zur Hauptseite der betreffenden Organisation navigieren, auf die Registerkarte Sicherheit klicken und dann auf Dependabot.

Eine Einführung in Dependabot alerts finden Sie unter Informationen zu Dependabot-Warnungen.

Wie Sie Dependabot alerts interpretieren und auflösen können, erfahren Sie unter Anzeigen und Aktualisieren von Dependabot-Warnungen.

Hinweis: Wenn Sie Dependabot security updates aktiviert haben, kann Dependabot außerdem automatisch Pull Requests auslösen, um die Abhängigkeiten in den Repositorys der Organisation zu aktualisieren. Weitere Informationen findest du unter Informationen zu Dependabot-Sicherheitsupdates.

Nächste Schritte

Wenn Sie die GitHub-recommended security configuration verwenden und Ihre Ergebnisse darauf hinweisen, dass die Sicherheitsaktivierungseinstellungen nicht Ihren Anforderungen entsprechen, sollten Sie eine custom security configuration erstellen. Weitere Informationen zu den ersten Schritten findest du unter Erstellen einer benutzerdefinierten Sicherheitskonfiguration.

Wenn Sie eine custom security configuration verwenden und Ihre Ergebnisse darauf hinweisen, dass die Sicherheitsaktivierungseinstellungen nicht Ihren Anforderungen entsprechen, können Sie Ihre bestehenden Konfigurationen ändern. Weitere Informationen findest du unter Bearbeiten einer angepassten Sicherheitskonfiguration.

Zu guter Letzt können Sie ihre Sicherheitseinstellungen auf Organisationsebene auch mit global settings bearbeiten. Weitere Informationen finden Sie unter Konfigurieren globaler Sicherheitseinstellungen für Ihre Organisation.