Informationen zu GitHub Advanced Security -Produkten
GitHub bietet viele Features, mit denen du die Qualität deines Codes verbessern und erhalten kannst. Einige dieser Features sind in allen Tarifen enthalten, wie z. B. das Abhängigkeitsdiagramm und Dependabot alerts.
Andere Sicherheitsfeatures erfordern den Erwerb einer der Advanced Security-Produkte von GitHub:
- GitHub Secret Protection enthält Features, mit denen du Geheimnislecks erkennen und verhindern kannst, z. B. secret scanning und Pushschutz.
- GitHub Code Security enthält Features, die dir helfen, Sicherheitsrisiken wie code scanning zu finden und zu beheben, Dependabot Premium-Features und Abhängigkeitsüberprüfung.
Einige dieser Features, z. B. code scanning und secret scanning, sind standardmäßig für öffentliche Repositorys aktiviert. Damit du das Feature für deine privaten oder internen Repositorys nutzen kannst, musst du das entsprechende GitHub Advanced Security-Produkt erwerben.
Du musst einen GitHub Team- oder GitHub Enterprise-Plan haben, um GitHub Code Security bzw. GitHub Secret Protection zu erwerben. Weitere Informationen findest du unter GitHub-Pläne und Informationen zur Abrechnung für GitHub Advanced Security.
GitHub Code Security
Mit GitHub Code Security erhältst du die folgenden Features:
-
Code scanning: Suche nach potenziellen Sicherheitsrisiken und Fehlern in deinem Code mithilfe von CodeQL oder einem Drittanbietertool.
-
CodeQL CLI: Führe CodeQL-Prozesse lokal in Softwareprojekten aus, oder generiere code scanning-Ergebnisse zum Hochladen auf GitHub.
-
Copilot Autofix: Rufe automatisch generierte Fixes für code scanning-Warnungen ab.
-
Sicherheitskampagnen: Verringere Sicherheitsschulden in großem Stil.
-
Benutzerdefinierte Regeln für die automatische Triage für Dependabot: Verwalte deine Dependabot alerts in großem Stil, indem du automatisierst, welche Alarme du ignorieren bzw. später noch einmal angezeigt bekommen möchtest und für welche ein Dependabot-Sicherheitsupdate ausgelöst werden soll.
-
Abhängigkeitsüberprüfung: Zeigen Sie die vollständigen Auswirkungen von Änderungen an Abhängigkeiten an, und sehen Sie sich Details zu anfälligen Versionen an, bevor Sie einen Pull Request zusammenführen.
-
Sicherheitsübersicht: Verstehe die Verteilung von Risiken in deiner Organisation.
In der folgenden Tabelle wird die Verfügbarkeit von GitHub Code Security-Features für öffentliche und private Repositorys zusammengefasst.
| Öffentliches Repository ohne GitHub Secret Protection | Privates Repository ohne GitHub Code Security | Öffentliches oder privates Repository mit GitHub Code Security | |
|---|---|---|---|
| Code scanning | |||
| CodeQL CLI | |||
| Copilot Autofix | |||
| Sicherheitskampagnen | |||
| Benutzerdefinierte Regeln für die automatische Triage | |||
| Abhängigkeitsüberprüfung | |||
| Sicherheitsübersicht |
Weitere Informationen zu Features findest du unter GitHub-Sicherheitsfeatures.
GitHub Secret Protection
MitGitHub Secret Protection erhältst du die folgenden Features:
-
Secret scanning: Ermitteln von Geheimnissen, z. B. Schlüssel und Token, die in ein Repository eingecheckt wurden und Benachrichtigungen empfangen.
-
Pushschutz: Verhindern von Geheimnislecks durch Blockieren von Commits mit Geheimnissen.
-
Copilot Geheimnisüberprüfung: Nutzen von KI, um unstrukturierte Anmeldeinformationen wie Kennwörter zu erkennen, die in ein Repository eingecheckt wurden.
-
Benutzerdefinierte Muster: Erkennen und Verhindern von Lecks bei organisationsspezifischen Geheimnissen.
-
Delegierte Umgehung für den Pushschutz und Delegiertes Schließen von Warnungen: Implementieren eines Genehmigungsprozesses für eine bessere Kontrolle darüber, wer in deinem Unternehmen vertrauliche Aktionen ausführen kann, und zur umfassenden Unterstützung der Governance.
-
Sicherheitsübersicht: Verstehen der Verteilung von Risiken in deiner Organisation.
In der folgenden Tabelle wird die Verfügbarkeit von GitHub Secret Protection-Features für öffentliche und private Repositorys zusammengefasst.
| Öffentliches Repository ohne GitHub Secret Protection | Privates Repository ohne GitHub Secret Protection | Öffentliches oder privates Repository mit GitHub Secret Protection | |
|---|---|---|---|
| Geheime Überprüfung | |||
| Pushschutz | |||
| Copilot Geheimnisüberprüfung | |||
| Benutzerdefinierte Muster | |||
| Delegierte Umgehung für den Pushschutz | |||
| Sicherheitsübersicht |
Weitere Informationen zu den einzelnen Features findest du unter GitHub-Sicherheitsfeatures.
Durchführen einer Bewertung der Gefährdung deiner Organisation gegenüber Geheimnislecks
Organisationen mit GitHub Team und GitHub Enterprise können einen kostenlosen Bericht erstellen, um den Code in der Organisation auf kompromittierte Geheimnisse zu prüfen. Dies kann dir helfen, die aktuelle Gefahr von kompromittierten Geheimnissen in Repositorys deiner Organisation einzuschätzen. Außerdem erfährst du, wie viele der kompromittierten Geheimnisse durch GitHub Secret Protection hätten verhindert werden können. Weitere Informationen findest du unter Informationen zur Risikobewertung von Geheimnissen.
Bereitstellen von GitHub Code Security und GitHub Secret Protection
Um zu erfahren, was du zum Planen einer umfassenden Bereitstellung von GitHub Code Security und GitHub Secret Protection benötigst, und um mehr über die empfohlenen Rolloutphasen zu erfahren, lies Einführen von GitHub Advanced Security im großen Stil.
Aktivieren von Features
Du kannst schnell Sicherheitsfeatures im großen Stil mit der GitHub-recommended security configuration, eine Sammlung von Sicherheitsaktivierungseinstellungen, die du auf Repositorys in einer Organisation anwenden kannst. Anschließend kannst du die Advanced Security-Features auf Organisationsebene mit global settings weiter anpassen. Weitere Informationen findest du unter Informationen zum Aktivieren von Sicherheitsfeatures im großen Stil.
Wenn du einen GitHub Team- oder GitHub Enterprise-Plan hast, wird die Lizenznutzung für das gesamte Team bzw. Unternehmen auf deiner Lizenzseite angezeigt. Weitere Informationen findest du unter Anzeigen und Herunterladen der Lizenznutzung von Advanced Security.
Informationen zu GitHub Advanced Security mit Azure Repos
Informationen zur Verwendung von GitHub Advanced Security mit Azure Repos findest du auf unserer Ressourcenwebsite unter GitHub Advanced Security & Azure DevOps. Die Dokumentation findest du unter Konfigurieren von GitHub Advanced Security for Azure DevOps in Microsoft Learn.