Bewerten der Einführung von Codesicherheitsfeatures

In diesem Artikel

Du kannst die Sicherheitsübersicht verwenden, um zu sehen, welche Teams und Repositorys bereits Codesicherheitsfeatures aktiviert haben, und um alle zu identifizieren, die noch nicht geschützt sind.

Wer kann dieses Feature verwenden?

Die Sicherheitsübersicht für eine Organisation steht allen Mitgliedern der Organisation zur Verfügung. Welche Ansichten und Daten angezeigt werden, wird von deiner Rolle in der Organisation und deinen Berechtigungen für einzelne Repositorys innerhalb der Organisation bestimmt. Weitere Informationen findest du unter Informationen zur Sicherheitsübersicht.

Die Sicherheitsübersicht für ein Unternehmen zeigt Organisationsbesitzerinnen und Sicherheits-Managerinnen Daten für die Organisationen an, auf die sie Zugriff haben. Unternehmensbesitzerinnen können nur Daten für Organisationen anzeigen, denen sie als Organisationsbesitzerin oder Sicherheits-Manager*in hinzugefügt wurden. Weitere Informationen findest du unter Verwalten deiner Rolle in einer Organisation, die deinem Unternehmen gehört.

Alle Unternehmen und ihre Organisationen verfügen über eine Sicherheitsübersicht. Bei Verwendung von GitHub Advanced Security-Features, die für alle öffentlichen Repositorys kostenlos sind, werden zusätzliche Informationen angezeigt. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Informationen zur Einführung von Codesicherheitsfeatures

Du kannst die Sicherheitsübersicht verwenden, um zu sehen, welche Repositorys und Teams die einzelnen Codesicherheitsfeatures bereits aktiviert haben, und wo Benutzer*innen mehr Unterstützung benötigen, um diese Features zu übernehmen. Die Ansicht „Sicherheitsabdeckung“ enthält eine Zusammenfassung und detaillierte Informationen zur Featureaktivierung für eine Organisation. Du kannst die Ansicht filtern, um eine Teilmenge von Repositorys anzuzeigen, indem du die Links „aktiviert“ und „nicht aktiviert“, das Dropdownmenü „Teams“ und ein Suchfeld in der Kopfzeile der Seite verwendest.

Screenshot des Headerabschnitts der Ansicht „Sicherheitsabdeckung“ auf der Registerkarte „Sicherheit“ für eine Organisation. Die Filteroptionen sind dunkelorange umrandet, einschließlich der Links „aktiviert“ und „nicht aktiviert“, des Selektors „Teams“ und des Suchfelds.

Sie können eine CSV-Datei mit den Daten herunterladen, die auf der Seite „Sicherheitsabdeckung “ angezeigt werden. Diese Datendatei kann für Anstrengungen wie Sicherheitsforschung und eingehende Datenanalyse verwendet werden und kann problemlos in externe Datasets integriert werden. Weitere Informationen finden Sie unter „Exportieren von Daten aus den Risiko- und Abdeckungsseiten“.

Anzeigen der Aktivierung von Codesicherheitsfeatures für eine Organisation

Die in der Sicherheitsübersicht angezeigten Informationen variieren je nach Zugriff auf Repositorys und Organisationen und je nachdem, ob GitHub Advanced Security von diesen Repositorys und Organisationen verwendet wird. Weitere Informationen findest du unter Informationen zur Sicherheitsübersicht.

In der Liste der Repositorys weist die Bezeichnung „Angehalten“ unter „Dependabot“ auf Repositorys hin, für die Dependabot updates angehalten sind. Informationen zu den Inaktivitätskriterien findest du unter Informationen zu Dependabot-Sicherheitsupdates und Informationen zu Updates von Dependabot-Versionen (für Sicherheits- bzw. Versionsupdates).

  1. Navigiere auf GitHub.com zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Um die Ansicht „Sicherheitsabdeckung“ anzuzeigen, klicke in der Randleiste auf -Abdeckung.

  4. Verwende die Optionen in der Seitenzusammenfassung, um Ergebnisse zu filtern, um die Repositorys anzuzeigen, die du bewerten möchtest. Die Liste der Repositorys und Metriken, die auf der Seite angezeigt werden, wird automatisch aktualisiert, um deiner aktuellen Auswahl zu entsprechen. Weitere Informationen zur Filterung findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

    • Verwende das Dropdownmenü Teams, um nur Informationen zu Repositorys anzuzeigen, die einem oder mehreren Teams gehören. Weitere Informationen findest du unter Den Teamzugriff auf ein Repository einer Organisation verwalten.
    • Klicke im Header eines Features auf ANZAHL aktiviert oder ANZAHL deaktiviert, um nur die Repositorys anzuzeigen, für die dieses Feature aktiviert oder deaktiviert ist.
    • Klicke oben in der Liste der Repositorys auf ANZAHL Archiviert, um nur archivierte Repositorys anzuzeigen.
    • Klicke in das Suchfeld, um den angezeigten Repositorys weitere Filter hinzuzufügen.

    Screenshot des Headerabschnitts der Ansicht „Sicherheitsabdeckung“ auf der Registerkarte „Sicherheit“ für eine Organisation. Die Filteroptionen sind dunkelorange umrandet, einschließlich der Links „aktiviert“ und „nicht aktiviert“, des Selektors „Teams“, der archivierten Repositorys und des Suchfelds.

  5. Klicke optional auf -Sicherheitseinstellungen, um Codesicherheitsfeatures für ein Repository zu aktivieren, und klicke auf Sicherheitseinstellungen speichern, um die Änderungen zu bestätigen. Wenn ein Feature nicht angezeigt wird, gelten komplexere Konfigurationsanforderungen, und du musst das Dialogfeld mit den Repositoryeinstellungen verwenden. Weitere Informationen findest du unter Repository schützen.

  6. Wähle optional einige oder alle Repositorys aus, die deiner aktuellen Suche entsprechen. Klicke dann in der Tabellenkopfzeile auf Sicherheitseinstellungen, um einen seitlichen Bereich anzuzeigen, in dem Sicherheitsfeatures für die ausgewählten Repositorys aktiviert werden können. Klicke abschließend auf Änderungen anwenden, um die Änderungen zu bestätigen. Weitere Informationen findest du unter Aktivieren von Sicherheitsfeatures für mehrere Repositorys.

Hinweis: Bei den Aktivierungseinstellungen für einzelne oder mehrere Repositorys gilt: Wenn du die code scanning aktivierst, werden alle vorhandenen Konfigurationen der code scanning für die ausgewählten Repositorys außer Kraft gesetzt, einschließlich der vorherigen Abfragesammlungsauswahl und Workflows für erweiterte Setups.

Anzeigen der Aktivierung von Codesicherheitsfeatures für ein Unternehmen

Du kannst Daten anzeigen, um die Aktivierung von Codesicherheitsfeatures in Organisationen in einem Unternehmen zu bewerten. Die in der Sicherheitsübersicht angezeigten Informationen variieren je nach Zugriff auf Repositorys und Organisationen und je nachdem, ob GitHub Advanced Security von diesen Repositorys und Organisationen verwendet wird. Weitere Informationen findest du unter Informationen zur Sicherheitsübersicht.

In der Ansicht auf Unternehmensebene kannst du Daten zur Aktivierung von Features anzeigen, du kannst Features jedoch nicht aktivieren oder deaktivieren. Weitere Informationen zum Aktivieren von Features findest du unter Aktivieren von Sicherheitsfeatures für mehrere Repositorys.

Tipp: Du kannst den Filter org: im Suchfeld verwenden, um die Daten nach Organisation zu filtern. Weitere Informationen findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

  1. Navigiere zu GitHub.com.

  2. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto und dann auf Deine Unternehmen.

  3. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

  4. Wähle auf der linken Randleiste Codesicherheit aus.

  5. Um die Ansicht „Sicherheitsabdeckung“ anzuzeigen, klicke auf der Randleiste auf Abdeckung.

  6. Verwende die Optionen in der Seitenzusammenfassung, um Ergebnisse zu filtern, um die Repositorys anzuzeigen, die du bewerten möchtest. Die Liste der Repositorys und Metriken, die auf der Seite angezeigt werden, wird automatisch aktualisiert, um deiner aktuellen Auswahl zu entsprechen. Weitere Informationen zur Filterung findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

    • Verwende das Dropdownmenü Teams, um nur Informationen zu Repositorys anzuzeigen, die einem oder mehreren Teams gehören. Weitere Informationen findest du unter Den Teamzugriff auf ein Repository einer Organisation verwalten.
    • Klicke im Header eines Features auf ANZAHL aktiviert oder ANZAHL deaktiviert, um nur die Repositorys anzuzeigen, für die dieses Feature aktiviert oder deaktiviert ist.
    • Klicke oben in der Liste der Repositorys auf ANZAHL Archiviert, um nur archivierte Repositorys anzuzeigen.
    • Klicke in das Suchfeld, um den angezeigten Repositorys weitere Filter hinzuzufügen.

    Screenshot: Headerabschnitt der Ansicht „Sicherheitsabdeckung“ für ein Unternehmen. Die Filteroptionen sind dunkelorange umrandet, einschließlich der Links „aktiviert“ und „nicht aktiviert“, des Selektors „Teams“, der archivierten Repositorys und des Suchfelds.

Interpretieren der Aktivierungsdaten und das Reagieren darauf

Einige Codesicherheitsfeatures können und sollten für alle Repositorys aktiviert werden. Beispielsweise Warnungen zur Geheimnisüberprüfung und Pushschutz. Diese Features reduzieren das Risiko einer Sicherheitskompromittierung, unabhängig davon, welche Informationen im Repository gespeichert sind. Wenn Repositorys angezeigt werden, die diese Features noch nicht verwenden, solltest du sie entweder aktivieren oder einen Aktivierungsplan mit dem Team besprechen, das das Repository besitzt. Informationen zum Aktivieren von Features für eine ganze Organisation findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.

Andere Features sind nicht für die Verwendung in allen Repositorys verfügbar. Es wäre zum Beispiel sinnlos, Dependabot oder code scanning für Repositorys zu aktivieren, die nur Ökosysteme oder Sprachen verwenden, die nicht unterstützt werden. Daher ist es normal, dass diese Features in einigen Repositorys nicht aktiviert sind.

Möglicherweise hat dein Unternehmen auch Richtlinien konfiguriert, um die Verwendung einiger Codesicherheitsfeatures einzuschränken. Weitere Informationen findest du unter Erzwingen von Richtlinien für die Codesicherheit und -analyse für Unternehmen.