Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation

Du kannst Features steuern, die den Code in den Projekten deiner Organisation auf GitHub sichern und analysieren.

Wer kann dieses Feature verwenden?

Organization owners can manage security and analysis settings for repositories in the organization.

In diesem Artikel

Informationen zur Verwaltung von Sicherheits- und Analyseeinstellungen

GitHub kann Ihnen dabei helfen, die Repositorys in deiner Organisation zu schützen. Du kannst die Sicherheits- und Analysefeatures für alle vorhandenen oder neuen Repositorys verwalten, die Mitglieder in deiner Organisation erstellen. Wenn du über eine Lizenz für GitHub Advanced Security verfügst, kannst du außerdem den Zugriff auf diese Features verwalten. Weitere Informationen finden Sie unter Informationen zu GitHub Advanced Security.

Anzeigen der Sicherheits- und Analyseeinstellungen

  1. Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.
  2. Klicke neben der Organisation auf Einstellungen.
  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

Auf der angezeigten Seite kannst du alle Sicherheits- und Analysefeatures für die Repositorys in deiner Organisation aktivieren oder deaktivieren.

Wenn du über eine Lizenz für GitHub Advanced Security verfügst, werden auf der Seite Optionen zum Aktivieren und Deaktivieren der GitHub Advanced Security-Features angezeigt. Alle Repositorys, die GitHub Advanced Security verwenden, werden unten auf der Seite aufgeführt.

Aktivieren oder Deaktivieren eines Features für alle vorhandenen Repositorys

Du kannst Features für alle Repositorys aktivieren oder deaktivieren.

In der Sicherheitsübersicht findest du eine Reihe von Repositorys, für die du Sicherheitsfeatures gleichzeitig aktivieren oder deaktivieren kannst. Weitere Informationen finden Sie unter Aktivieren von Sicherheitsfeatures für mehrere Repositorys.

Note

Wenn du GitHub Advanced Security-Features aktivierst, verwenden die aktiven Committer in diesen Repositorys GitHub Advanced Security-Lizenzen. Diese Option ist deaktiviert, wenn du deine Lizenzkapazität überschritten hast.

Note

Wenn der Fehler „GitHub Advanced Security cannot be enabled because of a policy setting for the organization“ angezeigt wird, wende dich an deine Unternehmensadministration und bitte sie darum, die GitHub Advanced Security-Richtlinie für dein Unternehmen zu ändern. Weitere Informationen finden Sie unter Erzwingen von Richtlinien für die Codesicherheit und -analyse für Unternehmen.

  1. Wechsle zu den Sicherheits- und Analyseeinstellungen für deine Organisation. Weitere Informationen findest du unter Anzeigen der Sicherheits- und Analyseeinstellungen.

  2. Klicke unter „Code security and analysis“ rechts neben dem Feature auf Disable all oder Enable all, damit ein Bestätigungsdialogfeld angezeigt wird. Die Steuerung für GitHub Advanced Security ist deaktiviert, wenn du über keine verfügbaren Lizenzen für GitHub Advanced Security verfügst.

  3. Überprüfe die Informationen im Dialogfeld.

  4. Wenn Sie optional private Sicherheitsrisikoberichte, ein Abhängigkeitsdiagramm oder Dependabot aktivieren, wählen Sie Standardmäßig für neue Repositorys aus.

    Screenshot des modalen Dialogfelds „FEATURE aktivieren“, in dem die Option „Standardmäßig für neue private Repositorys aktivieren“ orange hervorgehoben ist.

  5. Wenn du bereit bist, die Änderungen durchzuführen, klicke auf FEATURE deaktivieren oder FEATURE aktivieren, um das Feature für alle Repositorys in deiner Organisation zu deaktivieren oder zu aktivieren.

  6. Wähle optional im Abschnitt der Sicherheits- und Analyseeinstellungen deines Features zusätzliche Aktivierungseinstellungen aus. Weitere Aktivierungseinstellungen können Folgendes umfassen:

    • Automatische Aktivierung für einen bestimmten Repositorytyp

    • Featurespezifische Einstellungen, z. B. die Empfehlung der erweiterten Abfragesuite für das code scanning-Standardsetup in deiner Organisation oder die automatische geheime Überprüfung für secret scanning

    Note

    • Hinweis: Wenn Sie die CodeQL code scanning für alle Repositorys deaktivieren, wird diese Änderung nicht in den Informationen zur Abdeckung in der Sicherheitsübersicht für die Organisation angezeigt. Die Repositorys werden in der Ansicht zur Sicherheitsabdeckung weiterhin mit aktivierter code scanning angezeigt.
    • Wenn das code scanning für alle berechtigten Repositorys in einer Organisation aktiviert wird, werden vorhandene code scanning-Konfigurationen nicht außer Kraft gesetzt. Informationen zum Konfigurieren der Standardeinrichtung mit unterschiedlichen Einstellungen für bestimmte Repositorys findest du unter Konfigurieren des Standardsetups für das Codescanning und Konfigurieren des Standardsetups für das Codescanning im großen Stil.

Wenn du ein oder mehrere Sicherheits- und Analysefeatures für vorhandene Repositorys aktivierst, werden alle Ergebnisse innerhalb von Minuten in GitHub angezeigt:

  • Alle vorhandenen Repositorys verfügen über die ausgewählte Konfiguration.
  • Neue Repositorys folgen der ausgewählten Konfiguration, wenn Sie das Kontrollkästchen für neue Repositorys aktiviert haben.
  • Wir verwenden die Berechtigungen zum Suchen nach Manifestdateien, um die relevanten Dienste anzuwenden.
  • Ist diese Option aktiviert, werden Abhängigkeitsinformationen im Abhängigkeitsdiagramm angezeigt.
  • Ist diese Option aktiviert, generiert GitHub Dependabot alerts für anfällige Abhängigkeiten oder Schadsoftware.
  • Ist diese Option aktiviert, erstellen Dependabot-Sicherheitsupdates Pull Requests, um anfällige Abhängigkeiten zu upgraden, wenn Dependabot alerts ausgelöst werden.

Automatisches Aktivieren oder Deaktivieren eines Features, wenn neue Repositorys hinzugefügt werden

  1. Wechsle zu den Sicherheits- und Analyseeinstellungen für deine Organisation. Weitere Informationen findest du unter Anzeigen der Sicherheits- und Analyseeinstellungen.
  2. Suche das Feature unter „Code security and analysis“, und aktiviere oder deaktiviere es standardmäßig für neue Repositorys in deiner Organisation.

Zulassen, dass Dependabot auf private oder interne -Abhängigkeiten zugreifen können

Dependabot kann nach veralteten Abhängigkeitsverweisen in einem Projekt suchen und automatisch ein Pull Request generieren, um sie zu aktualisieren. Dazu benötigt Dependabot Zugriff auf alle Zielabhängigkeitsdateien. Für gewöhnlich schlagen Versionsupdates fehl, wenn auf mindestens eine Abhängigkeit nicht zugegriffen werden kann. Weitere Informationen finden Sie unter Informationen zu Updates von Dependabot-Versionen.

Standardmäßig können Dependabot keine Abhängigkeiten aktualisieren, die sich in privaten oder internen Repositorys bzw. privaten oder internen Paketregistrierungen befinden. Wenn sich eine Abhängigkeit jedoch in einem privaten oder internen GitHub Repository innerhalb derselben Organisation befindet wie das Projekt, das diese Abhängigkeit verwendet, können Sie Dependabot erlauben, die Version erfolgreich zu aktualisieren, indem Sie Ihr Zugriff auf das Hostrepository gewähren.

Wenn Ihr Code von Paketen in einer privaten or internal Registrierung abhängig ist, können Sie Dependabot erlauben, die Versionen dieser Abhängigkeiten durch Konfigurieren auf Repositoryebene zu aktualisieren. Füge dazu der Datei dependabot.yml Authentifizierungsdetails für das Repository hinzu. Weitere Informationen findest du unter Schlüssel registries der obersten Ebene.

So gewähren Sie Dependabot Zugriff auf ein privates oder internes Repository von GitHub:

  1. Wechsle zu den Sicherheits- und Analyseeinstellungen für deine Organisation. Weitere Informationen findest du unter Anzeigen der Sicherheits- und Analyseeinstellungen.

  2. Klicken Sie unter „Dependabot Zugriff auf private Repositorys gewähren“ auf Interne und private Repositorys hinzufügen, um ein Repositorysuchfeld anzuzeigen.

    Screenshot der Dropdownliste „Search“. Während der Eingabe werden Repositorynamen angezeigt, die deiner Suche entsprechen. Das Suchtextfeld ist orange dargestellt.

  3. Gib den Namen des Repositorys ein, auf das du Dependabot Zugriff gewähren möchtest.

  4. Eine Liste der übereinstimmenden Repositorys in der Organisation wird angezeigt. Klicken Sie auf das Repository, auf das Sie den Zugriff zulassen möchtest. Damit wird das Repository der Liste zulässiger Repositorys hinzugefügt.

  5. Um ein Repository aus der Liste zu entfernen, kannst du auch rechts von dem Repository auf klicken.

Entfernen des Zugriffs auf GitHub Advanced Security-Features von einzelnen Repositorys in einer Organisation

Du kannst den Zugriff auf GitHub Advanced Security-Features für ein Repository auf der Registerkarte „Settings“ verwalten. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository. Du kannst GitHub Advanced Security-Features für ein Repository auf der Registerkarte „Settings“ jedoch ebenfalls für eine Organisation deaktivieren.

  1. Wechsle zu den Sicherheits- und Analyseeinstellungen für deine Organisation. Weitere Informationen findest du unter Anzeigen der Sicherheits- und Analyseeinstellungen.
  2. Um eine Liste aller Repositorys in deiner Organisation anzuzeigen, für die GitHub Advanced Security aktiviert ist, scrolle zum Abschnitt „GitHub Advanced Security repositories“.

In der Tabelle wird die Anzahl der eindeutigen Committer für jedes Repository aufgeführt. Das ist die Anzahl der Lizenzen, die du durch das Entfernen des Zugriffs auf GitHub Advanced Security freigeben könntest. Weitere Informationen finden Sie unter Informationen zur Abrechnung von GitHub Advanced Security.

  1. Klicke daneben auf das , um den Zugriff auf GitHub Advanced Security von einem Repository zu entfernen und Lizenzen freizugeben, die von aktiven, für das Repository eindeutigen Committenden verwendet werden.
  2. Klicke im Bestätigungsdialogfeld auf Remove repository, um den Zugriff auf die Features von GitHub Advanced Security zu entfernen.

Note

Wenn du den Zugriff auf GitHub Advanced Security für ein Repository entfernst, solltest du dem betroffenen Team mitteilen, dass diese Änderung beabsichtigt war. Dadurch wird sichergestellt, dass keine Zeit für das Debuggen fehlgeschlagener Ausführungen des Codescans verschwendet wird.

Weiterführende Themen