Skip to main content

Diese Version von GitHub Enterprise Server wurde eingestellt am 2024-09-25. Es wird keine Patch-Freigabe vorgenommen, auch nicht für kritische Sicherheitsprobleme. Für bessere Leistung, verbesserte Sicherheit und neue Features aktualisiere auf die neueste Version von GitHub Enterprise Server. Wende dich an den GitHub Enterprise-Support, um Hilfe zum Upgrade zu erhalten.

Best Practices zum Verhindern von Datenlecks in deiner Organisation

Hier findest du Anleitungen und Empfehlungen, mit denen du vermeiden kannst, dass private oder vertrauliche Daten in deiner Organisation verfügbar gemacht werden.

Über diesen Leitfaden

Als Organisationsbesitzer*in sollte die Verhinderung der Offenlegung privater oder vertraulicher Daten oberste Priorität haben. Ob absichtlich oder versehentlich, Datenlecks können erhebliche Risiken für die beteiligten Parteien darstellen. Während GitHub Maßnahmen ergreift, um dich vor Datenlecks zu schützen, bist du auch für die Verwaltung deiner Organisation verantwortlich, um die Sicherheit zu erhöhen.

Es gibt mehrere Schlüsselkomponenten, wenn es um die Abwehr von Datenlecks geht:

  • Proaktives Vorgehen bei der Prävention
  • Frühzeitige Erkennung möglicher Lecks
  • Verwalten von vorbeugenden Maßnahmen, wenn ein Vorfall auftritt

Der beste Ansatz hängt von der Art der Organisation ab, die du verwaltest. Beispielsweise erfordert eine Organisation, die sich auf Open-Source-Entwicklung konzentriert, möglicherweise eine lockerere Steuerung als eine vollständig kommerzielle Organisation, um eine externe Zusammenarbeit zu ermöglichen. Dieser Artikel enthält allgemeine Anleitungen zu den zu berücksichtigenden GitHub-Features und -Einstellungen, die du entsprechend deiner Anforderungen implementieren solltest.

Sichere Konten

Schütze die Repositorys und Einstellungen deiner Organisation, indem du bewährte Sicherheitsmethoden implementierst, z. B. durch Aktivieren und Erzwingen von 2FA für alle Mitglieder sowie durch Einrichten von Richtlinien für sichere Kennwörter.

  • Organisationsmitglieder, externe Mitarbeiter und Abrechnungsmanager müssen 2FA für ihre persönlichen Konten aktivieren, um böswilligen Akteuren den Zugriff auf die Repositories und Einstellungen einer Organisation zu erschweren. Weitere Informationen findest du unter Erfordern der zweistufigen Authentifizierung in deiner Organisation.

  • Benutzer*innen animieren, sichere Kennwörter zu erstellen und sie angemessen zu schützen, indem sie die empfohlenen GitHub-Kennwortrichtlinien befolgen. Weitere Informationen findest du unter Ein sicheres Passwort erstellen.

  • Eine interne Sicherheitsrichtlinie in GitHub einrichten, damit Benutzer*innen wissen, welche Schritte sie ausführen und wen sie bei Verdacht auf einen Vorfall kontaktiert müssen. Weitere Informationen finden Sie unter Hinzufügen einer Sicherheitsrichtlinie für dein Repository.

Weitere Informationen zum Sichern von Konten findest du unter Bewährte Methoden zum Schützen von Konten.

Verhindern von Datenlecks

Als Organisationsbesitzer*in solltest du den Zugriff entsprechend dem Typ deiner Organisation einschränken und überprüfen. Berücksichtige die folgenden Einstellungen für eine striktere Kontrolle:

EmpfehlungWeitere Informationen
Deaktiviere die Möglichkeit, Repositorys zu forken.Verwalten der Forking-Richtlinie für dein Repository
Deaktivieren Sie die Änderungsmöglichkeit für die Repositorysichtbarkeit.Einschränken von Änderungen der Sichtbarkeit von Repositorys in deiner Organisation
Beschränke die Repositoryerstellung auf „Privat“ oder „Intern“.Einschränken der Repositoryerstellung in deiner Organisation
Deaktiviere das Löschen und Übertragen von Repositorys.Berechtigungen zum Löschen oder Übertragen von Repositorys festlegen
Lege den Bereich für personal access token auf die erforderlichen Mindestberechtigungen fest.Keine
Schütze deinen Code, indem du öffentliche Repositorys bei Bedarf in private konvertierst. Du kannst die Repositorybesitzer*innen automatisch über eine GitHub App über diese Änderung benachrichtigen.Verhindern öffentlicher Repositorys in GitHub Marketplace
Bestätige die Identität deiner Organisation, indem du deine Domäne überprüfst und E-Mail-Benachrichtigungen nur auf überprüfte E-Mail-Domänen beschränkst.Überprüfen oder Genehmigen einer Domäne für deine Organisation und Einschränken von E-Mail-Benachrichtigungen für deine Organisation
Verhindere, dass Mitwirkende versehentlich Commits durchführen.Entfernen vertraulicher Daten aus einem Repository

Erkennen von Datenlecks

Unabhängig davon, wie gut du deine Organisation stärkst, um Datenlecks zu verhindern, können einige immer noch auftreten, und du kannst mit secret scanning, dem Überwachungsprotokoll und Branchschutzregeln darauf reagieren.

Verwenden von secret scanning

Secret scanning hilft dabei, Code zu sichern und Geheimnisse in Organisationen und Repositorys zu schützen, indem Geheimnisse überprüft und erkannt werden, die versehentlich über den vollständigen Git-Verlauf jedes Branchs in GitHub-Repositorys übertragen wurden. Für alle Zeichenfolgen, die mit Mustern übereinstimmen, dievon dir oder deiner Organisation definiert wurden, werden Warnmeldungen auf der Registerkarte Sicherheit der Repositorys angezeigt.

verfügen

Ihr Website-Administrator muss secret scanning für Ihre Instance aktivieren, bevor Sie diese Funktion nutzen können. Weitere Informationen findest du unter Konfigurieren der Geheimnisüberprüfung für deine Appliance.

Weitere Informationen zu secret scanning findest du unter Informationen zur Geheimnisüberprüfung.

Du kannst secret scanning auch als Pushschutz für ein Repository oder eine Organisation aktivieren. Wenn du dieses Feature aktivierst, verhindert secret scanning, dass Mitwirkende Code mit einem erkannten Geheimnis pushen. Weitere Informationen findest du Informationen zum Pushschutz. Schließlich kannst du die Erkennung auch auf benutzerdefinierte geheime Zeichenfolgenstrukturen erweitern. Weitere Informationen findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.

Überprüfen des Auditprotokolls deiner Organisation

Du kannst IP-Adressen proaktiv schützen und die Compliance für deine Organisation sicherstellen, indem du das Überwachungsprotokoll deiner Organisation zusammen mit der Überwachungsprotokoll-API von GraphQL nutzt. Weitere Informationen findest du unter Auditprotokoll deiner Organisation überprüfen und Schnittstellen.

Einrichten von Branchschutzregeln

Um sicherzustellen, dass der gesamte Code ordnungsgemäß überprüft wird, bevor er mit dem Standardbranch zusammengeführt wird, kannst du den Branchschutz aktivieren. Durch Festlegen von Branchschutzregeln kannst du bestimmte Workflows oder Anforderungen erzwingen, bevor eine Mitwirkender Änderungen pushen kann. Weitere Informationen finden Sie unter Informationen zu geschützten Branches.

Minimieren von Datenlecks

Wenn ein Benutzer vertrauliche Daten überträgt, bitte ihn, diese mithilfe des git filter-repo-Tools zu entfernen. Weitere Informationen finden Sie unter Entfernen vertraulicher Daten aus einem Repository. Wenn die vertraulichen Daten noch nicht gepusht wurden, kannst du diese Änderungen einfach lokal rückgängig machen. Weitere Informationen findest du unter the GitHub Blog (beachte jedoch, dass es sich bei git revert nicht um eine gültige Methode handelt, um das Hinzufügen vertraulicher Daten rückgängig zu machen, da diese Option den ursprünglichen vertraulichen Commit im Git-Verlauf verlässt).

Wenn du dich nicht direkt mit demder Repositorybesitzerin abstimmen kannst, um Daten zu entfernen, von denen du sicher sind, dass du derdie Besitzerin bist, kannst du ein DMCA-Benachrichtigungsformular ausfüllen und den GitHub-Support informieren. Stelle sicher, dass du die problematischen Commit-Hashes einschließt. Weitere Informationen findest du unter DMCA Takedown-Mitteilung.

Note

Wenn eines deiner Repositorys aufgrund einer falschen Behauptung entfernt wurde, solltest du ein DMCA-Widerspruchsformular ausfüllen und den GitHub-Support benachrichtigen. Weitere Informationen findest du unter DMCA-Widerspruchsformular.

Nächste Schritte