Informationen zur Verwaltung von Sicherheits- und Analyseeinstellungen
GitHub kann Ihnen dabei helfen, die Repositorys in deiner Organisation zu schützen. Du kannst die Sicherheits- und Analysefeatures für alle vorhandenen oder neuen Repositorys verwalten, die Mitglieder in deiner Organisation erstellen.
Anzeigen der Sicherheits- und Analyseeinstellungen
-
Klicke in der oberen rechten Ecke von GitHub Enterprise Server auf dein Profilfoto, und klicke dann auf Deine Organisationen.
2. Klicke neben der Organisation auf Einstellungen. -
Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.
Auf der angezeigten Seite kannst du alle Sicherheits- und Analysefeatures für die Repositorys in deiner Organisation aktivieren oder deaktivieren.
Wenn du über eine Lizenz für GitHub Advanced Security verfügst, enthält die Seite auch Optionen zum Aktivieren und Deaktivieren von Features für Advanced Security. Repositorys, die GitHub Advanced Security verwenden, werden unten auf der Seite aufgeführt.
Aktivieren oder Deaktivieren eines Features für alle vorhandenen Repositorys
Du kannst Features für alle Repositorys aktivieren oder deaktivieren.
Hinweis: Wenn du GitHub Advanced Security aktivierst, verwenden aktive Committer für diese Repositorys GitHub Advanced Security -Lizenzen. Diese Option ist deaktiviert, wenn du deine Lizenzkapazität überschritten hast.
Hinweis: Wenn du die Fehlermeldung „GitHub Advanced Security kann aufgrund einer Richtlinieneinstellung für das Unternehmen nicht aktiviert werden“ erhältst, kontaktiere deinen Unternehmensadministrator und bitte um eine Änderung der GitHub Advanced Security-Richtlinie für dein Unternehmen. Weitere Informationen findest du unter Erzwingen von Richtlinien für die Codesicherheit und -analyse für Unternehmen.
- Wechsle zu den Codesicherheits- und Codeanalyseeinstellungen für deine Organisation. Weitere Informationen findest du unter Anzeigen der Sicherheits- und Analyseeinstellungen.
- Klicke unter Codesicherheit und -analyse rechts neben dem Feature auf Alle deaktivieren oder Alle aktivieren, um ein Bestätigungsdialogfeld anzuzeigen. Das Steuerelement für GitHub Advanced Security ist deaktiviert, wenn keine Lizenzen für GitHub Advanced Security verfügbar sind.
- Überprüfe die Informationen im Dialogfeld. Wenn du ein Feature aktivierst, wähle optional Standardmäßig für neue Repositorys aktivieren aus.
- Wenn du bereit bist, die Änderungen durchzuführen, klicke auf FEATURE deaktivieren oder FEATURE aktivieren, um das Feature für alle Repositorys in deiner Organisation zu deaktivieren oder zu aktivieren.
Wenn du ein oder mehrere Sicherheits- und Analysefeatures für vorhandene Repositorys aktivierst, werden alle Ergebnisse innerhalb von Minuten in GitHub angezeigt:
- Alle vorhandenen Repositorys verfügen über die ausgewählte Konfiguration.
- Neue Repositorys folgen der ausgewählten Konfiguration, wenn du das Kontrollkästchen für neue Repositorys aktiviert hast.
- Ist diese Option aktiviert, erstellen Dependabot-Sicherheitsupdates Pullanforderungen, um anfällige Abhängigkeiten zu aktualisieren, wenn Dependabot alerts ausgelöst werden.
Automatisches Aktivieren oder Deaktivieren eines Features, wenn neue Repositorys hinzugefügt werden
- Wechsle zu den Sicherheits- und Analyseeinstellungen für deine Organisation. Weitere Informationen findest du unter Anzeigen der Sicherheits- und Analyseeinstellungen.
- Suche das Feature unter „Codesicherheit und -analyse“, und aktiviere bzw. deaktiviere es für alle neuen Repositorys in deiner Organisation.
Zulassen, dass Dependabot auf private Abhängigkeiten zugreifen kann
Dependabot kann nach veralteten Abhängigkeitsverweisen in einem Projekt suchen und automatisch ein Pull Request generieren, um sie zu aktualisieren. Dazu benötigt Dependabot Zugriff auf alle Zielabhängigkeitsdateien. Für gewöhnlich schlagen Versionsupdates fehl, wenn auf mindestens eine Abhängigkeit nicht zugegriffen werden kann. Weitere Informationen findest du unter Informationen zu Updates von Dependabot-Versionen.
Standardmäßig kann Dependabot Abhängigkeiten in privaten Repositorys oder privaten Paketregistrierungen nicht aktualisieren. Wenn sich eine Abhängigkeit jedoch in einem privaten Repository von GitHub innerhalb derselben Organisation befindet wie das Projekt, das die Abhängigkeit verwendet, kannst du Dependabot erlauben, die Version erfolgreich zu aktualisieren, indem du Zugriff auf das Hostrepository gewährst.
Wenn dein Code von Paketen in einer privaten Registrierung abhängt, kannst du Dependabot erlauben, die Versionen dieser Abhängigkeiten durch Konfigurieren auf Repositoryebene zu aktualisieren. Füge dazu der Datei dependabot.yml Authentifizierungsdetails für das Repository hinzu. Weitere Informationen findest du unter Konfigurationsoptionen für die Datei dependabot.yml.
So gewährst du Dependabot Zugriff auf ein privates Repository von GitHub:
- Wechsle zu den Sicherheits- und Analyseeinstellungen für deine Organisation. Weitere Informationen findest du unter Anzeigen der Sicherheits- und Analyseeinstellungen.
- Klicke unter „Dependabot Zugriff auf private Repositorys gewähren“ auf Private Repositorys hinzufügen oder Interne und private Repositorys hinzufügen, um ein Repositorysuchfeld anzuzeigen.
- Gib den Namen des Repositorys ein, auf das du Dependabot Zugriff gewähren möchtest.
- Eine Liste der übereinstimmenden Repositorys in der Organisation wird angezeigt. Klicke auf das Repository, auf das du den Zugriff zulassen möchtest. Somit wird das Repository der Liste zulässiger Daten hinzugefügt.
- Um ein Repository aus der Liste zu entfernen, kannst du auch rechts von dem Repository auf klicken.
Entfernen des Zugriffs auf GitHub Advanced Security von einzelnen Repositorys in einer Organisation
Du kannst den Zugriff auf Features für GitHub Advanced Security für ein Repository auf der Registerkarte „Einstellungen“ verwalten. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository. Du kannst jedoch auch die Features für GitHub Advanced Security für ein Repository auf der Registerkarte „Einstellungen“ der Organisation deaktivieren.
- Wechsle zu den Sicherheits- und Analyseeinstellungen für deine Organisation. Weitere Informationen findest du unter Anzeigen der Sicherheits- und Analyseeinstellungen.
- Um eine Liste aller Repositorys in deiner Organisation mit aktivierter GitHub Advanced Security anzuzeigen, scrolle zum Abschnitt „GitHub Advanced Security-Repositorys“.
Die Tabelle führt die Anzahl eindeutiger Committer für jedes Repository auf. Dies ist die Anzahl an Lizenzen, die du freigeben könntest, wenn du den Zugriff auf GitHub Advanced Security entfernst. Weitere Informationen findest du unter Informationen zur Abrechnung von GitHub Advanced Security. - Um den Zugriff auf GitHub Advanced Security für ein Repository zu entfernen und Lizenzen freizugeben, die von aktiven Committern verwendet werden, die für das Repository eindeutig sind, klicke auf das daneben.
- Klicke im Bestätigungsdialogfeld auf Repository entfernen, um den Zugriff auf die Features von GitHub Advanced Security zu entfernen.
Hinweis: Wenn du den Zugriff auf GitHub Advanced Security für ein Repository entfernst, solltest du dem betroffenen Entwicklungsteam mitteilen, dass diese Änderung gewollt war. Dadurch wird sichergestellt, dass keine Zeit für das Debuggen fehlgeschlagener Ausführungen des Codescans verschwendet wird.