Schnellstart für die Sicherung Ihres Repositorys

Einführung

In diesem Leitfaden erfährst du, wie du Sicherheitsfunktionen für ein Repository konfigurierst.

Deine Sicherheitsbedürfnisse sind für dein Repository individuell, daher musst du vielleicht nicht jedes Feature für dein Repository aktivieren. Weitere Informationen finden Sie unterGitHub-Sicherheitsfeatures.

Verfügbarkeit der Sicherheitsfunktionen

Verwalten des Zugriffs auf dein Repository

Der erste Schritt zur Sicherung eines Repositorys besteht darin einzurichten, wer deinen Code sehen und ändern darf. Weitere Informationen finden Sie unterVerwalten der Repository-Einstellungen und -Funktionen.

Klicke auf der Hauptseite deines Repositorys auf Settings, und scrolle dann nach unten zu „Danger Zone“.

• Um zu ändern, wer dein Projektarchiv sehen kann, klicke aufSichtbarkeit ändern. Weitere Informationen finden Sie unterSichtbarkeit eines Repositorys festlegen.
• Um zu ändern, wer auf dein Repository zugreifen und Berechtigungen anpassen kann, klicke aufZugriff verwalten. Weitere Informationen finden Sie unterTeams und Personen mit Zugriff auf Dein Repository verwalten.

Verwalten des Abhängigkeitsdiagramms

Unternehmensbesitzende können das Abhängigkeitsdiagramm und Dependabot alerts für ein Unternehmen konfigurieren. Weitere Informationen findest du unter Aktivieren des Abhängigkeitsdiagramms für dein Unternehmen und Aktivieren von Dependabot für dein Unternehmen.

Weitere Informationen finden Sie unterUntersuchen der Abhängigkeiten eines Repositorys.

Verwalten von Dependabot alerts

Dependabot alerts werden generiert, wenn GitHub eine Abhängigkeit im Abhängigkeitsdiagramm mit einem Sicherheitsrisiko identifiziert.

Darüber hinaus können Sie Dependabot auto-triage rules verwenden, um Ihre Warnungen in großem Umfang zu verwalten, so dass Sie Warnungen automatisch ignorieren oder den Standbymodus aktivieren können und angeben können, für welche Warnungen Dependabot Pull Requests öffnen soll. Weitere Informationen zu den verschiedenen Typen von Regeln für die automatische Triage und zu den Berechtigungen deiner Repositorys findest du unter Über Auto-Triage-Regeln von Dependabot.

Eine Übersicht über die verschiedenen Features von Dependabot und Anweisungen zu den ersten Schritten findest du unter Schnellstartanleitung für Dependabot.

Unternehmensbesitzer*innen müssen das Abhängigkeitsdiagramm und Dependabot alerts für ein Unternehmen konfigurieren.

Sobald Dependabot alerts konfiguriert wurden, können Repositoryadmins und Organisationsbesitzende Dependabot alerts auf der Advanced Security-Einstellungsseite für private und interne Repositorys aktivieren. Öffentliche Repositorys sind standardmäßig aktiviert. Weitere Informationen findest du unter Aktivieren des Abhängigkeitsdiagramms für dein Unternehmen, Aktivieren von Dependabot für dein Unternehmen und Konfigurieren von Dependabot-Warnungen.

Weitere Informationen findest du unterInformationen zu Dependabot-Warnungen.

Verwalten der Abhängigkeitsüberprüfung

Mit der Abhängigkeitsüberprüfung kannst du Abhängigkeitsänderungen in Pull-Anforderungen visualisieren, bevor sie in deine Repositorys zusammengeführt werden. Weitere Informationen finden Sie unterInformationen zur Abhängigkeitsüberprüfung.

Die Abhängigkeitsüberprüfung ist ein Feature von GitHub Code Security.

Um die Abhängigkeitsüberprüfung für ein Repository zu aktivieren, stellen Sie sicher, dass das Abhängigkeitsdiagramm aktiviert ist.

1. Klicke auf der Hauptseite deines Repositorys auf Settings.
2. Klicke auf Advanced Security.
3. Stelle sicher, dass das Abhängigkeitsdiagramm für dein Unternehmen konfiguriert ist.

Verwalten von Dependabot security updates

Für jedes Repository, für das Dependabot alerts verwendet werden, kannst du Dependabot security updates aktivieren, um Pull Requests mit Sicherheitsupdates auszulösen, wenn Sicherheitsrisiken erkannt werden.

1. Klicke auf der Hauptseite deines Repositorys auf Settings.
2. Klicke auf Advanced Security.
3. Klicke neben Dependabot security updates aufAktivieren.

Weitere Informationen findest du unterInformationen zu Dependabot-Sicherheitsupdates undKonfigurieren von Dependabot-Sicherheitsupdates.

Verwalten von Dependabot version updates

Du kannst Dependabot zur automatisch Generierung von Pull Requests aktivieren, um deine Abhängigkeiten auf dem neuesten Stand zu halten. Weitere Informationen finden Sie unterInformationen zu Updates von Dependabot-Versionen.

Zum Aktivieren von Dependabot version updates musst du einedependabot.yml-Konfigurationsdatei erstellen. Weitere Informationen finden Sie unterKonfigurieren von Versionsupdates von Dependabot.

Konfigurieren von Code Security

GitHub Code Security schließt code scanning, CodeQL CLI und Copilot Autofix sowie weitere Features ein, die Sicherheitsrisiken suchen in deiner Codebasis suchen und beheben.

Du kannst code scanning konfigurieren, um mit einem CodeQL-Analyseworkflow oder einem Tool eines Drittanbieters automatisch Sicherheitsrisiken und Fehler in dem in deinem Repository gespeicherten Code zu identifizieren. Abhängig von den Programmiersprachen in deinem Repository kannst du code scanning mit CodeQL mithilfe des Standardsetups konfigurieren, in dem GitHub die zu scannenden Sprachen, die auszuführenden Abfragesammlungen und die Ereignisse automatisch ermittelt, die eine neue Überprüfung auslösen. Weitere Informationen finden Sie unterKonfigurieren des Standardsetups für das Codescanning.

1. Klicke auf der Hauptseite deines Repositorys auf Settings.
2. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.
3. Wenn Code Security oder GitHub Advanced Security noch nicht aktiviert ist, klicke aufEnable.
4. Wähle rechts neben „CodeQL analysis“ die OptionSet up aus, und klicke dann aufDefault.
5. Überprüfe im angezeigten Popupfenster die Standardkonfigurationseinstellungen für dein Repository, und klicke dann aufEnable CodeQL.

Als Alternative zum Standardsetup kannst du das erweiterte Setup verwenden, wodurch eine Workflowdatei generiert wird, die du bearbeiten kannst, um code scanning mit CodeQL anzupassen. Weitere Informationen finden Sie unterKonfigurieren des erweiterten Setups für das Codescanning.

Konfigurieren von Secret Protection

GitHub Secret Protection schließt secret scanning und Pushschutz sowie weitere Features ein, die dich beim Erkennen und Verhindern von Geheimnislecks in deinem Repository unterstützen.

1. Klicke auf der Hauptseite deines Repositorys auf Settings.
2. Klicke auf Advanced Security.
3. Wenn Secret Protection oder GitHub Advanced Security noch nicht aktiviert ist, klicke aufEnable.
4. Wenn die Option „Secret scanning“ angezeigt wird, klicke aufEnable'.
5. Entscheide, ob du zusätzliche Features wie Scannen nach Nicht-Anbieter-Mustern und Pushschutz aktivieren möchtest.

Festlegen einer Sicherheitsrichtlinie

Wenn du Repository-Maintainer bist, empfiehlt es sich, eine Sicherheitsrichtlinie für dein Repository anzugeben, indem du eine Datei mit dem NamenSECURITY.md im Repository erstellst. Diese Datei weist Benutzer darauf hin, wie sie sich am besten mit dir in Verbindung setzen und mit dir zusammenarbeiten können, wenn sie Sicherheitsrisiken in deinem Repository melden möchten. Du kannst die Sicherheitsrichtlinie eines Repositorys auf der RegisterkarteSicherheit des Repositorys anzeigen.

1. Klicke auf der Hauptseite deines Repositorys auf Security.
2. Klicke auf der linken Randleiste unter „Berichterstellung“ auf Policy.
3. Klicke aufStart setup (Setup starten).
4. Füge Informationen über unterstützte Versionen deines Projekts hinzu und wie du Sicherheitsrisiken melden kannst.

Weitere Informationen finden Sie unterHinzufügen einer Sicherheitsrichtlinie für dein Repository.

Nächste Schritte

Du kannst Warnungen von Sicherheitsfeatures anzeigen und verwalten, um Abhängigkeiten und Sicherheitsrisiken in deinem Code zu bearbeiten. Weitere Informationen findest du unterAnzeigen und Aktualisieren von Dependabot-Warnungen,Verwalten von Pull Requests für Abhängigkeitsupdates,Bewerten von Warnungen der Codeüberprüfung für das Repository undVerwalten von Warnungen aus der Geheimnisüberprüfung.

Du kannst die Tools von GitHub zudem verwenden, um Antworten auf Sicherheitswarnungen zu überwachen. Weitere Informationen finden Sie unterPrüfen von Sicherheitswarnungen.

Wenn Sie GitHub Actions verwenden, können Sie die Sicherheitsfeatures von GitHub verwenden, um die Sicherheit Ihrer Workflows zu erhöhen. Weitere Informationen finden Sie unter Referenz zur sicheren Verwendung.