Einführung
In diesem Leitfaden erfährst du, wie du Sicherheitsfunktionen für ein Repository konfigurierst. Du musst Repository-Administrator oder Organisationsbesitzer sein, um Sicherheitseinstellungen für ein Repository zu konfigurieren.
Deine Sicherheitsbedürfnisse sind für dein Repository individuell, daher musst du vielleicht nicht jedes Feature für dein Repository aktivieren. Weitere Informationen findest du unter GitHub-Sicherheitsfeatures.
Einige Features sind für alle Repositorys verfügbar. Zusätzliche Features stehen Unternehmen zur Verfügung, die GitHub Advanced Security verwenden. Weitere Informationen findest du unter About GitHub Advanced Security.
Verwalten des Zugriffs auf dein Repository
Der erste Schritt zur Sicherung eines Repositorys besteht darin einzurichten, wer deinen Code sehen und ändern darf. Weitere Informationen findest du unter Verwalten der Repository-Einstellungen und -Funktionen.
Klicke auf der Hauptseite deines Repositorys auf -Einstellungen, und scrolle dann nach unten zur „Gefahrenzone“.
- Um zu ändern, wer dein Projektarchiv sehen kann, klicke auf Sichtbarkeit ändern. Weitere Informationen findest du unter Sichtbarkeit eines Repositorys festlegen.
- Um zu ändern, wer auf dein Repository zugreifen und Berechtigungen anpassen kann, klicke auf Zugriff verwalten. Weitere Informationen findest du unter Teams und Personen mit Zugriff auf Dein Repository verwalten.
Verwalten des Abhängigkeitsdiagramms
GitHub Enterprise-Besitzer können das Abhängigkeitsdiagramm und Dependabot alerts für ein Unternehmen konfigurieren. Weitere Informationen findest du unter Enabling the dependency graph for your enterprise und unter Enabling Dependabot for your enterprise.
Weitere Informationen findest du unter Untersuchen der Abhängigkeiten eines Repositorys.
Verwalten von Dependabot alerts
Dependabot alerts werden generiert, wenn GitHub eine Abhängigkeit im Abhängigkeitsdiagramm mit einem Sicherheitsrisiko identifiziert.
GitHub Enterprise-Besitzer können das Abhängigkeitsdiagramm und Dependabot alerts für ein Unternehmen konfigurieren. Weitere Informationen findest du unter Enabling the dependency graph for your enterprise und unter Enabling Dependabot for your enterprise.
Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen.
Verwalten der Abhängigkeitsüberprüfung
Mit der Abhängigkeitsüberprüfung kannst du Abhängigkeitsänderungen in Pull-Anforderungen visualisieren, bevor sie in deine Repositorys zusammengeführt werden. Weitere Informationen findest du unter Informationen zur Abhängigkeitsüberprüfung.
Die Abhängigkeitsüberprüfung ist ein GitHub Advanced Security-Feature. Um die Abhängigkeitsüberprüfung für ein Repository zu aktivieren, stelle sicher, dass der Abhängigkeitsgraph aktiviert ist und aktiviere GitHub Advanced Security.
- Klicke auf der Hauptseite deines Repositorys auf Einstellungen.
- Klicke auf Security & Analysis (Sicherheit und Analyse).
- Überprüfe, ob Abhängigkeitsdiagramm für dein Unternehmen konfiguriert ist.
- Wenn GitHub Advanced Security nicht aktiviert ist, klicke auf Aktivieren.
Verwalten von Dependabot security updates
Für jedes Repository, für das Dependabot alerts verwendet werden, kannst du Dependabot security updates aktivieren, um Pull Requests mit Sicherheitsupdates auszulösen, wenn Sicherheitsrisiken erkannt werden.
- Klicke auf der Hauptseite deines Repositorys auf Einstellungen.
- Klicke auf Security & Analysis (Sicherheit und Analyse).
- Klicke neben Dependabot security updates auf Aktivieren.
Weitere Informationen findest du unter Informationen zu Dependabot-Sicherheitsupdates und unter Konfigurieren von Dependabot-Sicherheitsupdates.
Verwalten von Dependabot version updates
Du kannst Dependabot zur automatisch Generierung von Pull Requests aktivieren, um deine Abhängigkeiten auf dem neuesten Stand zu halten. Weitere Informationen findest du unter Informationen zu Updates von Dependabot-Versionen.
Zum Aktivieren von Dependabot version updates musst du eine dependabot.yml-Konfigurationsdatei erstellen. Weitere Informationen findest du unter Konfigurieren von Versionsupdates von Dependabot.
Konfigurieren von code scanning
Du kannst die code scanning so konfigurieren, dass Sicherheitsrisiken und Fehler in dem in deinem Repository gespeicherten Code automatisch identifiziert werden, indem du einen CodeQL-Analyseworkflow oder ein Drittanbietertool verwendest. Weitere Informationen findest du unter Configuring code scanning for a repository.
ist für organisationsinterne Repositorys sind, wenn dein Unternehmen GitHub Advanced Security verwendet.
Konfigurieren von secret scanning
Secret scanning ist für organisationseigene Repositorys in GitHub Enterprise Server verfügbar, wenn dein Unternehmen über eine Lizenz für GitHub Advanced Security verfügt. Weitere Informationen findest du unter Informationen zu Geheimnisüberprüfung auf GitHub Enterprise Server und Informationen zu GitHub Advanced Security.
-
Klicke auf der Hauptseite deines Repositorys auf Einstellungen.
-
Klicke auf Codesicherheit und Analyse.
-
Wenn GitHub Advanced Security nicht aktiviert ist, klicke auf Aktivieren.
-
Klicke neben Secret scanning auf Aktivieren.
Festlegen einer Sicherheitsrichtlinie
Wenn du Repository-Maintainer bist, empfiehlt es sich, eine Sicherheitsrichtlinie für dein Repository anzugeben, indem du eine Datei mit dem Namen SECURITY.md im Repository erstellst. Diese Datei weist Benutzer darauf hin, wie sie sich am besten mit dir in Verbindung setzen und mit dir zusammenarbeiten können, wenn sie Sicherheitsrisiken in deinem Repository melden möchten. Du kannst die Sicherheitsrichtlinie eines Repositorys auf der Registerkarte Sicherheit des Repositorys anzeigen.
- Klicke unter deinem Repositorynamen auf -Sicherheit.
- Klicke auf Sicherheitsrichtlinie.
- Klicke auf Start setup (Setup starten).
- Füge Informationen über unterstützte Versionen deines Projekts hinzu und wie du Sicherheitsrisiken melden kannst.
Weitere Informationen findest du unter Adding a security policy to your repository.
Nächste Schritte
Du kannst Warnungen von Sicherheitsfeatures anzeigen und verwalten, um Abhängigkeiten und Sicherheitsrisiken in deinem Code zu bearbeiten. Weitere Informationen findest du unter „Hinweis: Dein Websiteadministrator muss Dependabot updates für deine GitHub Enterprise Server-Instanz einrichten, damit du dieses Feature verwenden kannst. Weitere Informationen findest du unter Enabling Dependabot for your enterprise.“, „Verwalten von Pull Requests für Abhängigkeitsupdates“, „Verwalten von Codescanwarnungen für dein Repository“ und „Verwalten von Warnungen aus der Geheimnisüberprüfung“.
Du kannst auch die Tools von GitHub verwenden, um Antworten auf Sicherheitswarnungen zu überwachen. Weitere Informationen findest du unter Prüfen von Sicherheitswarnungen.