Informationen zu GitHub Advanced Security

GitHub stellt zusätzliche Sicherheitsfeatures für diejenigen zur Verfügung, die GitHub Code Security oder GitHub Secret Protection erwerben. Einige Features sind für öffentliche Repositorys standardmäßig aktiviert.

Wer kann dieses Feature verwenden?

GitHub Code Security und GitHub Secret Protection sind für Konten auf GitHub Team und GitHub Enterprise Cloud verfügbar.

Einige Features sind für öffentliche Repositorys auf GitHub.com ebenfalls kostenlos verfügbar. Weitere Informationen findest du unter GitHub-Pläne.

Informationen zu GitHub Advanced Security for Azure DevOps finden Sie unter Konfigurieren von GitHub Advanced Security for Azure DevOps in Microsoft Learn.

In diesem Artikel

Informationen zu GitHub Advanced Security -Produkten

GitHub bietet viele Features, mit denen du die Qualität deines Codes verbessern und erhalten kannst. Einige dieser Features sind in allen Tarifen enthalten, wie z. B. das Abhängigkeitsdiagramm und Dependabot alerts.

Andere Sicherheitsfeatures erfordern den Erwerb einer der Advanced Security-Produkte von GitHub:

  • GitHub Secret Protection enthält Features, mit denen du Geheimnislecks erkennen und verhindern kannst, z. B. secret scanning und Pushschutz.
  • GitHub Code Security enthält Features, die dir helfen, Sicherheitsrisiken wie code scanning zu finden und zu beheben, Dependabot Premium-Features und Abhängigkeitsüberprüfung.

Einige dieser Features, z. B. code scanning und secret scanning, sind standardmäßig für öffentliche Repositorys aktiviert. Damit du das Feature für deine privaten oder internen Repositorys nutzen kannst, musst du das entsprechende GitHub Advanced Security-Produkt erwerben.

Du musst einen GitHub Team- oder GitHub Enterprise-Plan haben, um GitHub Code Security bzw. GitHub Secret Protection zu erwerben. Weitere Informationen findest du unter GitHub-Pläne und Informationen zur Abrechnung für GitHub Advanced Security.

GitHub Code Security

Mit GitHub Code Security erhältst du die folgenden Features:

  • Code scanning: Suche nach potenziellen Sicherheitsrisiken und Fehlern in deinem Code mithilfe von CodeQL oder einem Drittanbietertool.

  • CodeQL CLI: Führe CodeQL-Prozesse lokal in Softwareprojekten aus, oder generiere code scanning-Ergebnisse zum Hochladen auf GitHub.

  • Copilot Autofix: Rufe automatisch generierte Fixes für code scanning-Warnungen ab.

  • Sicherheitskampagnen: Verringere Sicherheitsschulden in großem Stil.

  • Benutzerdefinierte Regeln für die automatische Triage für Dependabot: Verwalte deine Dependabot alerts in großem Stil, indem du automatisierst, welche Alarme du ignorieren bzw. später noch einmal angezeigt bekommen möchtest und für welche ein Dependabot-Sicherheitsupdate ausgelöst werden soll.

  • Abhängigkeitsüberprüfung: Zeigen Sie die vollständigen Auswirkungen von Änderungen an Abhängigkeiten an, und sehen Sie sich Details zu anfälligen Versionen an, bevor Sie einen Pull Request zusammenführen.

  • Sicherheitsübersicht: Verstehe die Verteilung von Risiken in deiner Organisation.

In der folgenden Tabelle wird die Verfügbarkeit von GitHub Code Security-Features für öffentliche und private Repositorys zusammengefasst.

Öffentliches Repository
ohne GitHub Code Security		Privates Repository
ohne GitHub Code Security		Öffentliches oder privates Repository
mit GitHub Code Security
Code scanning
CodeQL CLI
Copilot Autofix
Sicherheitskampagnen
Benutzerdefinierte Regeln für die automatische Triage
Abhängigkeitsüberprüfung
Sicherheitsübersicht

Weitere Informationen zu Features findest du unter GitHub-Sicherheitsfeatures.

GitHub Secret Protection

MitGitHub Secret Protection erhältst du die folgenden Features:

  • Secret scanning: Ermitteln von Geheimnissen, z. B. Schlüssel und Token, die in ein Repository eingecheckt wurden und Benachrichtigungen empfangen.

  • Pushschutz: Verhindern von Geheimnislecks durch Blockieren von Commits mit Geheimnissen.

  • Copilot Geheimnisüberprüfung: Nutzen von KI, um unstrukturierte Anmeldeinformationen wie Kennwörter zu erkennen, die in ein Repository eingecheckt wurden.

  • Benutzerdefinierte Muster: Erkennen und Verhindern von Lecks bei organisationsspezifischen Geheimnissen.

  • Delegierte Umgehung für den Pushschutz und Delegiertes Schließen von Warnungen: Implementieren eines Genehmigungsprozesses für eine bessere Kontrolle darüber, wer in deinem Unternehmen vertrauliche Aktionen ausführen kann, und zur umfassenden Unterstützung der Governance.

  • Sicherheitsübersicht: Verstehen der Verteilung von Risiken in deiner Organisation.

In der folgenden Tabelle wird die Verfügbarkeit von GitHub Secret Protection-Features für öffentliche und private Repositorys zusammengefasst.

Öffentliches Repository
ohne GitHub Secret Protection		Privates Repository
ohne GitHub Secret Protection		Öffentliches oder privates Repository
mit GitHub Secret Protection
Geheime Überprüfung
Pushschutz
Copilot Geheimnisüberprüfung
Benutzerdefinierte Muster
Delegierte Umgehung für den Pushschutz
Sicherheitsübersicht

Weitere Informationen zu den einzelnen Features findest du unter GitHub-Sicherheitsfeatures.

Durchführen einer Bewertung der Gefährdung deiner Organisation gegenüber Geheimnislecks

Organisationen mit GitHub Team und GitHub Enterprise können einen kostenlosen Bericht erstellen, um den Code in der Organisation auf kompromittierte Geheimnisse zu prüfen. Dies kann dir helfen, die aktuelle Gefahr von kompromittierten Geheimnissen in Repositorys deiner Organisation einzuschätzen. Außerdem erfährst du, wie viele der kompromittierten Geheimnisse durch GitHub Secret Protection hätten verhindert werden können. Weitere Informationen findest du unter Informationen zur Risikobewertung von Geheimnissen.

Bereitstellen von GitHub Code Security und GitHub Secret Protection

Um zu erfahren, was du zum Planen einer umfassenden Bereitstellung von GitHub Code Security und GitHub Secret Protection benötigst, und um mehr über die empfohlenen Rolloutphasen zu erfahren, lies Einführen von GitHub Advanced Security im großen Stil.

Aktivieren von Features

Du kannst schnell Sicherheitsfeatures im großen Stil mit der GitHub-recommended security configuration, eine Sammlung von Sicherheitsaktivierungseinstellungen, die du auf Repositorys in einer Organisation anwenden kannst. Anschließend kannst du die Advanced Security-Features auf Organisationsebene mit global settings weiter anpassen. Weitere Informationen findest du unter Informationen zum Aktivieren von Sicherheitsfeatures im großen Stil.

Wenn du einen GitHub Team- oder GitHub Enterprise-Plan hast, wird die Lizenznutzung für das gesamte Team bzw. Unternehmen auf deiner Lizenzseite angezeigt. Weitere Informationen findest du unter Anzeigen der Nutzung von Produkten mit getakteter Abrechnung.

Informationen zu GitHub Advanced Security mit Azure Repos

Informationen zur Verwendung von GitHub Advanced Security mit Azure Repos findest du auf unserer Ressourcenwebsite unter GitHub Advanced Security & Azure DevOps. Die Dokumentation findest du unter Konfigurieren von GitHub Advanced Security for Azure DevOps in Microsoft Learn.

Weiterführende Themen