Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation

Du kannst Features steuern, die den Code in den Projekten deiner Organisation auf GitHub sichern und analysieren.

Wer kann dieses Feature verwenden?

Organization owners can manage security and analysis settings for repositories in the organization.

In diesem Artikel

Informationen zur Verwaltung von Sicherheits- und Analyseeinstellungen

GitHub kann Ihnen dabei helfen, die Repositorys in deiner Organisation zu schützen. Du kannst die Sicherheits- und Analysefeatures für alle vorhandenen oder neuen Repositorys verwalten, die Mitglieder in deiner Organisation erstellen.

Anzeigen der Sicherheits- und Analyseeinstellungen

  1. Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.
  2. Klicke neben der Organisation auf Einstellungen.
  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

Auf der angezeigten Seite kannst du alle Sicherheits- und Analysefeatures für die Repositorys in deiner Organisation aktivieren oder deaktivieren.

Wenn du über eine Lizenz für GitHub Advanced Security verfügst, enthält die Seite auch Optionen zum Aktivieren und Deaktivieren von Features für Advanced Security. Repositorys, die GitHub Advanced Security verwenden, werden unten auf der Seite aufgeführt.

Aktivieren oder Deaktivieren eines Features für alle vorhandenen Repositorys

Du kannst Features für alle Repositorys aktivieren oder deaktivieren.

In der Sicherheitsübersicht findest du eine Reihe von Repositorys, für die du Sicherheitsfeatures gleichzeitig aktivieren oder deaktivieren kannst. Weitere Informationen findest du unter Aktivieren von Sicherheitsfeatures für mehrere Repositorys.

Hinweis: Wenn du GitHub Advanced Security aktivierst, verwenden aktive Committer für diese Repositorys GitHub Advanced Security -Lizenzen. Diese Option ist deaktiviert, wenn du deine Lizenzkapazität überschritten hast.

Hinweis: Wenn du die Fehlermeldung „GitHub Advanced Security kann aufgrund einer Richtlinieneinstellung für das Unternehmen nicht aktiviert werden“ erhältst, kontaktiere deinen Unternehmensadministrator und bitte um eine Änderung der GitHub Advanced Security-Richtlinie für dein Unternehmen. Weitere Informationen findest du unter Erzwingen von Richtlinien für die Codesicherheit und -analyse für Unternehmen.

  1. Wechsle zu den Sicherheits- und Analyseeinstellungen für deine Organisation. Weitere Informationen findest du unter Anzeigen der Sicherheits- und Analyseeinstellungen.

  2. Klicke unter Codesicherheit und -analyse rechts neben dem Feature auf Alle deaktivieren oder Alle aktivieren, um ein Bestätigungsdialogfeld anzuzeigen. Das Steuerelement für GitHub Advanced Security ist deaktiviert, wenn keine Lizenzen für GitHub Advanced Security verfügbar sind.

  3. Überprüfe die Informationen im Dialogfeld.

  4. Wenn du optional private Sicherheitsrisikoberichte, ein Abhängigkeitsdiagramm oder Dependabot aktivierst, wähle Standardmäßig für neue Repositorys aus.

    Screenshot des modalen Dialogfelds „FEATURE aktivieren“, in dem die Option „Standardmäßig für neue private Repositorys aktivieren“ mit einer dunkelorangefarbenen Kontur hervorgehoben ist.

  5. Wenn du bereit bist, die Änderungen durchzuführen, klicke auf FEATURE deaktivieren oder FEATURE aktivieren, um das Feature für alle Repositorys in deiner Organisation zu deaktivieren oder zu aktivieren.

  6. Wähle optional im Abschnitt der Sicherheits- und Analyseeinstellungen deines Features zusätzliche Aktivierungseinstellungen aus. Weitere Aktivierungseinstellungen können Folgendes umfassen:

    • Automatische Aktivierung für einen bestimmten Repositorytyp
    • Featurespezifische Einstellungen, z. B. die Empfehlung der erweiterten Abfragesuite für das code scanning-Standardsetup in deiner Organisation oder die automatische geheime Überprüfung für secret scanning

    Hinweise:

    • Hinweis: Wenn Sie die CodeQL code scanning für alle Repositorys deaktivieren, wird diese Änderung nicht in den Informationen zur Abdeckung in der Sicherheitsübersicht für die Organisation angezeigt. Die Repositorys werden in der Ansicht zur Sicherheitsabdeckung weiterhin mit aktivierter code scanning angezeigt.
    • Wenn die code scanning für alle berechtigten Repositorys in einer Organisation aktiviert wird, werden vorhandene Konfigurationen der code scanning nicht außer Kraft gesetzt. Informationen zum Konfigurieren der Standardeinrichtung mit unterschiedlichen Einstellungen für bestimmte Repositorys findest du unter Konfigurieren des Standardsetups für das Codescanning und Konfigurieren des Standardsetups für das Codescanning im großen Stil.

Wenn du ein oder mehrere Sicherheits- und Analysefeatures für vorhandene Repositorys aktivierst, werden alle Ergebnisse innerhalb von Minuten in GitHub angezeigt:

  • Alle vorhandenen Repositorys verfügen über die ausgewählte Konfiguration.
  • Neue Repositorys folgen der ausgewählten Konfiguration, wenn du das Kontrollkästchen für neue Repositorys aktiviert hast.
  • Wir verwenden die Berechtigungen zum Suchen nach Manifestdateien, um die relevanten Dienste anzuwenden.
  • Ist diese Option aktiviert, werden Abhängigkeitsinformationen im Abhängigkeitsdiagramm angezeigt.
  • Ist diese Option aktiviert, generiert GitHub Dependabot alerts für anfällige Abhängigkeiten oder Schadsoftware.
  • Ist diese Option aktiviert, erstellen Dependabot-Sicherheitsupdates Pull Requests, um anfällige Abhängigkeiten zu upgraden, wenn Dependabot alerts ausgelöst werden.

Automatisches Aktivieren oder Deaktivieren eines Features, wenn neue Repositorys hinzugefügt werden

  1. Wechsle zu den Sicherheits- und Analyseeinstellungen für deine Organisation. Weitere Informationen findest du unter Anzeigen der Sicherheits- und Analyseeinstellungen.
  2. Aktiviere oder deaktiviere das Feature unter „Codesicherheit und -analyse“ standardmäßig für neue Repositorys in deiner Organisation.

Zulassen, dass Dependabot auf private oder interne -Abhängigkeiten zugreifen können

Dependabot kann nach veralteten Abhängigkeitsverweisen in einem Projekt suchen und automatisch ein Pull Request generieren, um sie zu aktualisieren. Dazu benötigt Dependabot Zugriff auf alle Zielabhängigkeitsdateien. Für gewöhnlich schlagen Versionsupdates fehl, wenn auf mindestens eine Abhängigkeit nicht zugegriffen werden kann. Weitere Informationen findest du unter Informationen zu Updates von Dependabot-Versionen.

Standardmäßig können Dependabot keine Abhängigkeiten aktualisieren, die sich in privaten oder internen Repositorys bzw. privaten oder internen Paketregistrierungen befinden. Wenn sich eine Abhängigkeit jedoch in einem privaten oder internen GitHub Repository innerhalb derselben Organisation befindet wie das Projekt, das diese Abhängigkeit verwendet, können Sie Dependabot erlauben, die Version erfolgreich zu aktualisieren, indem Sie Ihr Zugriff auf das Hostrepository gewähren.

Wenn Ihr Code von Paketen in einer privaten or internal Registrierung abhängig ist, können Sie Dependabot erlauben, die Versionen dieser Abhängigkeiten durch Konfigurieren auf Repositoryebene zu aktualisieren. Füge dazu der Datei dependabot.yml Authentifizierungsdetails für das Repository hinzu. Weitere Informationen findest du unter Konfigurationsoptionen für die Datei dependabot.yml.

Um Dependabot zu erlauben, auf ein privates oder internes GitHub Repository zuzugreifen:

  1. Wechsle zu den Sicherheits- und Analyseeinstellungen für deine Organisation. Weitere Informationen findest du unter Anzeigen der Sicherheits- und Analyseeinstellungen.

  2. Klicken Sie unter „Dependabot Zugriff auf private Repositorys gewähren“ auf Interne und private Repositorys hinzufügen, um ein Repositorysuchfeld anzuzeigen.

    Screenshot: Dropdownliste, mit der du nach Repositorys suchen kannst. Während der Eingabe werden Repositorys, deren Name deinen Suchkriterien entspricht, in der Liste angezeigt. Das Textfeld für die Suche ist dunkelorange umrandet.

  3. Gib den Namen des Repositorys ein, auf das du Dependabot Zugriff gewähren möchtest.

  4. Eine Liste der übereinstimmenden Repositorys in der Organisation wird angezeigt. Klicken Sie auf das Repository, auf das Sie den Zugriff zulassen möchtest. Damit wird das Repository der Liste zulässiger Repositorys hinzugefügt.

  5. Um ein Repository aus der Liste zu entfernen, kannst du auch rechts von dem Repository auf klicken.

Entfernen des Zugriffs auf GitHub Advanced Security von einzelnen Repositorys in einer Organisation

Du kannst den Zugriff auf Features für GitHub Advanced Security für ein Repository auf der Registerkarte „Einstellungen“ verwalten. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository. Du kannst jedoch auch die Features für GitHub Advanced Security für ein Repository auf der Registerkarte „Einstellungen“ der Organisation deaktivieren.

  1. Wechsle zu den Sicherheits- und Analyseeinstellungen für deine Organisation. Weitere Informationen findest du unter Anzeigen der Sicherheits- und Analyseeinstellungen.
  2. Um eine Liste aller Repositorys in deiner Organisation mit aktivierter GitHub Advanced Security anzuzeigen, scrolle zum Abschnitt „GitHub Advanced Security-Repositorys“.

In der Tabelle wird die Anzahl der eindeutigen Committer für jedes Repository aufgeführt. Dies ist die Anzahl an Lizenzen, die du freigeben könntest, wenn du den Zugriff auf GitHub Advanced Security entfernst. Weitere Informationen findest du unter Informationen zur Abrechnung von GitHub Advanced Security.

  1. Um den Zugriff auf GitHub Advanced Security für ein Repository zu entfernen und Lizenzen freizugeben, die von aktiven Committern verwendet werden, die für das Repository eindeutig sind, klicke auf das daneben.
  2. Klicke im Bestätigungsdialogfeld auf Repository entfernen, um den Zugriff auf die Features von GitHub Advanced Security zu entfernen.

Hinweis: Wenn du den Zugriff auf GitHub Advanced Security für ein Repository entfernst, solltest du dem betroffenen Entwicklungsteam mitteilen, dass diese Änderung gewollt war. Dadurch wird sichergestellt, dass keine Zeit für das Debuggen fehlgeschlagener Ausführungen des Codescans verschwendet wird.

Weiterführende Themen