Skip to main content

Interpretieren von Sicherheitsergebnissen

Sie können Sicherheitsdaten bezüglich Repositorys in Ihrer Organisation analysieren, um festzustellen, ob Sie Änderungen an Ihren Sicherheitseinstellungen vornehmen müssen.

Wer kann dieses Feature verwenden?

Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Organisationsmitglieder mit der Administratorrolle

Info zu Sicherheitsergebnisse

Nachdem Sie ein security configuration auf ein Repository angewendet haben, liefern die aktivierten Sicherheitsfeatures wahrscheinlich Sicherheitsergebnisse für dieses Repository. Diese Ergebnisse können als featurespezifische Warnungen oder als automatisch generierte Pull Requests angezeigt werden, die so konzipiert sind, dass deine Repositorys sicher bleiben. Sie können die Ergebnisse in der gesamten Organisation analysieren und erforderliche Anpassungen an der security configuration vornehmen.

Du solltest die Mitwirkenden dazu ermutigen, Sicherheitswarnungen und Pull Requests zu überprüfen und aufzulösen, um deine Organisation möglichst gut zu schützen. Darüber hinaus kannst du mit Mitwirkenden zusammenarbeiten und ältere Sicherheitswarnungen auflösen. Weitere Informationen dazu findest du unter Bewährte Methoden zum Beheben von Sicherheitswarnungen im großen Stil.

Suchen von Repositorys mit Sicherheitswarnungen mithilfe der Sicherheitsübersicht

Die Informationen, die über die Sicherheitsübersicht angezeigt werden, variieren je nach Ihrem Zugriff auf Repositorys und Organisationen und je nachdem, ob GitHub Advanced Security von diesen Repositorys und Organisationen verwendet werden. Weitere Informationen findest du unter Informationen zur Sicherheitsübersicht.

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Standardmäßig werden in der Übersicht Warnungen für alle nativen GitHub-Tools angezeigt (Filter: tool:github). Um Warnungen für ein bestimmtes Tool anzuzeigen, ersetzen Sie tool:github im Textfeld des Filters. Zum Beispiel:

    • tool:dependabot, um nur Warnungen für Abhängigkeiten anzuzeigen, die von Dependabot identifiziert wurden.
    • tool:secret-scanning, um nur Warnungen für Geheimnisse anzuzeigen, die von secret scanning identifiziert wurden.
    • tool:codeql, um nur Warnungen für mögliche Sicherheitsrisiken anzuzeigen, die von CodeQL code scanning identifiziert wurden.
  4. Sie können weitere Filter hinzufügen, um nur die Repositorys anzuzeigen, die Sie bewerten möchten. Die Liste der Repositorys und Metriken, die auf der Seite angezeigt werden, wird automatisch aktualisiert, um deiner aktuellen Auswahl zu entsprechen. Weitere Informationen zur Filterung findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

    • Verwende das Dropdownmenü Teams, um nur Informationen zu Repositorys anzuzeigen, die einem oder mehreren Teams gehören.
    • Klicke im Header beliebiger Features auf ANZAHL betroffen oder ANZAHL nicht betroffen, um nur Repositorys mit offenen oder ohne offene Warnungen dieses Typs anzuzeigen.
    • Klicke im Header auf eine der Beschreibungen von „Offene Warnungen“, um nur Repositorys mit Warnungen dieses Typs und dieser Kategorie anzuzeigen. 1 kritisch zeigt z. B. nur das Repository mit einer kritischen Warnung für Dependabot an.
    • Klicke oben in der Liste der Repositorys auf ANZAHL Archiviert, um nur archivierte Repositorys anzuzeigen.
  5. Du kannst auch die Randleiste auf der linken Seite verwenden, um Warnungen für ein bestimmtes Sicherheitsfeature ausführlicher zu untersuchen. Auf jeder Seite kannst du für das betreffende Feature spezifische Filter verwenden, um deine Suche zu optimieren. Weitere Informationen zu den verfügbaren Qualifizierern findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

Interpretieren von secret scanning-Warnungen

Secret scanning ist ein Sicherheitstool, das den gesamten Git-Verlauf von Repositorys sowie die Probleme, Pull Requests, Diskussionen und Wikis in diesen Repositorys auf offengelegte Geheimnisse durchsucht, die versehentlich übergeben wurden, wie etwa Token oder private Schlüssel. Es gibt zwei Arten von secret scanning-Warnungen:

  • Warnungen zur Geheimnisüberprüfung für Partner, die an den Anbieter gesendet werden, der den geheimen Schlüssel ausgeben hat
  • Warnungen zur Geheimnisüberprüfung für Benutzer*innen, die in GitHub Enterprise Cloud angezeigt werden und aufgelöst werden können

Sie können die secret scanning-Warnungen für eine Organisation anzeigen, indem Sie zur Hauptseite der betreffenden Organisation navigieren, auf die Registerkarte Sicherheit klicken und dann auf Secret scanning.

Eine Einführung in secret scanning-Warnungen findest du unter Informationen zu Warnungen zur Geheimnisüberprüfung.

Informationen zum Bewerten von secret scanning-Warnungen findest du unter Bewerten von Warnungen aus der Geheimnisüberprüfung.

Interpretieren von code scanning-Warnungen

Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codefehler zu finden. Alle von der Analyse ermittelten Probleme werden im Repository angezeigt. Diese Probleme werden als code scanning-Warnungen behandelt, die detaillierte Informationen zur Verwundbarkeit oder zum erkannten Fehler enthalten.

Sie können die code scanning-Warnungen für eine Organisation anzeigen, indem Sie zur Hauptseite der betreffenden Organisation navigieren, auf die Registerkarte Sicherheit klicken und dann auf Code scanning.

Eine Einführung in code scanning-Warnungen findest du unter Informationen zu Codeüberprüfungswarnungen.

Informationen dazu, wie du code scanning-Warnungen interpretieren und beheben kannst, findest du unter Bewerten von Warnungen der Codeüberprüfung für das Repository und Problemlösung für Warnungen der Codeüberprüfung.

Interpretieren von Dependabot alerts

Dependabot alerts informieren Sie über Schwachstellen in den Abhängigkeiten, die Sie in Repositorys in Ihrer Organisation verwenden. Sie können Dependabot alerts für eine Organisation anzeigen, indem Sie zur Hauptseite der betreffenden Organisation navigieren, auf die Registerkarte Sicherheit klicken und dann auf Dependabot.

Eine Einführung in Dependabot alerts findest du unter Informationen zu Dependabot-Warnungen.

Wie du Dependabot alerts interpretieren und auflösen kannst, erfährst du unter Anzeigen und Aktualisieren von Dependabot-Warnungen.

Note

Wenn du Dependabot security updates aktiviert hast, kann Dependabot außerdem automatisch Pull Requests auslösen, um die Abhängigkeiten in den Repositorys der Organisation zu aktualisieren. Weitere Informationen finden Sie unter Informationen zu Dependabot-Sicherheitsupdates.

Nächste Schritte

Wenn Sie die GitHub-recommended security configuration verwenden und Ihre Ergebnisse darauf hinweisen, dass die Sicherheitsaktivierungseinstellungen nicht Ihren Anforderungen entsprechen, sollten Sie eine custom security configuration erstellen. Weitere Informationen zu den ersten Schritten findest du unter Erstellen einer benutzerdefinierten Sicherheitskonfiguration.

Wenn du eine custom security configuration verwendest und deine Ergebnisse darauf hinweisen, dass die Sicherheitsaktivierungseinstellungen nicht deinen Anforderungen entsprechen, kannst du die bestehenden Konfigurationen ändern. Weitere Informationen finden Sie unter Bearbeiten einer angepassten Sicherheitskonfiguration.

Zu guter Letzt können Sie ihre Sicherheitseinstellungen auf Organisationsebene auch mit global settings bearbeiten. Weitere Informationen findest du unter Konfigurieren globaler Sicherheitseinstellungen für Ihre Organisation.