Informationen zu den Sicherheitsfeatures von GitHub
GitHub bietet Sicherheitsfeatures, mit denen Code und Geheimnisse in Repositorys und verschiedenen Organisationen geschützt werden können. Einige Features sind für Repositorys in allen Plänen verfügbar. Zusätzliche Features stehen Unternehmen zur Verfügung, die GitHub Advanced Security verwenden. GitHub Advanced Security-Features (außer der Sicherheitsübersicht) sind für alle öffentlichen Repositorys auf GitHub.com aktiviert. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.
Die GitHub Advisory Database enthält eine kuratierte Liste von Sicherheitsrisiken, die du anzeigen, durchsuchen und filtern kannst. Weitere Informationen findest du unter Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database.
Verfügbar für alle Repositorys
Sicherheitsrichtlinie
Hiermit vereinfachst du es deinen Benutzer*innen, in deinem Repository gefundene Sicherheitsrisiken vertraulich zu melden. Weitere Informationen findest du unter Hinzufügen einer Sicherheitsrichtlinie für dein Repository.
Sicherheitsempfehlungen
Erörtere und behebe Sicherheitsrisiken im Code deines Repositorys auf private Weise. Du kannst dann eine Sicherheitsempfehlung veröffentlichen, um deine Community über die Sicherheitslücke zu informieren und den Communitymitgliedern zu empfehlen, ein Upgrade durchzuführen. Weitere Informationen findest du unter Informationen zu Sicherheitsempfehlungen für Repositorys.
Dependabot alerts und Sicherheitsupdates
Du kannst Warnungen zu Abhängigkeiten mit bekannten Sicherheitsrisiken anzeigen, und entscheiden, ob Pull Requests automatisch generiert werden sollen, um diese Abhängigkeiten zu aktualisieren. Weitere Informationen finden Sie unter Informationen zu Dependabot-Warnungen und unter Informationen zu Dependabot-Sicherheitsupdates.
Sie können standardmäßige Dependabot auto-triage rules verwenden, die von GitHub zusammengestellt wurden, um automatisch eine erhebliche Menge falsch positiver Ergebnisse herauszufiltern. Die Dismiss low impact issues for development-scoped dependencies ist eine voreingestellte Regel für GitHub. Diese Regel schließt automatisch bestimmte Arten von Sicherheitsrisiken, die in npm-Abhängigkeiten gefunden werden, die in der Entwicklung verwendet werden. Die Regel wurde erstellt, um falsch positive Ergebnisse zu reduzieren und das Abstumpfen des Benutzers gegenüber Warnungen zu verhindern. Die Regel ist standardmäßig für öffentliche Repositorys aktiviert und kann für private Repositorys aktiviert werden. Es ist jedoch nicht möglich, GitHub-Voreinstellungen zu ändern. Weitere Informationen findest du unter Verwenden von voreingestellten GitHub-Regeln zum Priorisieren von Dependabot-Warnungen.
Eine Übersicht über die verschiedenen Features in Dependabot und Anweisungen zu den ersten Schritten finden Sie unter „Schnellstartanleitung für Dependabot“.
Dependabot version updates
Verwende Dependabot zur automatisch Generierung von Pull Requests, um deine Abhängigkeiten auf dem neuesten Stand zu halten. Dadurch wird die Gefährdung von älteren Versionen durch Abhängigkeiten verringert. Die Verwendung neuer Versionen erleichtert das Anwenden von Patches, wenn Sicherheitsrisiken erkannt werden. Ebenfalls erleichtert es Dependabot security updates das erfolgreiche Generieren von Pull Requests zum Upgraden anfälliger Abhängigkeiten. Du kannst auch Dependabot version updates anpassen, um die Integration in deine Repositorys zu verbessern. Weitere Informationen findest du unter Informationen zu Updates von Dependabot-Versionen.
Abhängigkeitsdiagramm
Mit dem Abhängigkeitsdiagramm kannst du die Ökosysteme und Pakete erkunden, von denen dein Repository abhängig ist, sowie die Repositorys und Pakete, die von deinem Repository abhängen.
Du findest das Abhängigkeitsdiagramm auf der Registerkarte Erkenntnisse des Repositorys. Weitere Informationen findest du unter Informationen zum Abhängigkeitsdiagramm.
Wenn du mindestens Lesezugriff auf das Repository hast, kannst du das Abhängigkeitsdiagramm für das Repository als SPDX-kompatible Softwarestückliste (Bill of Materials, SBOM) über die GitHub-Benutzeroberfläche oder die GitHub-REST-API exportieren. Weitere Informationen findest du unter Exportieren einer Software-Stückliste (Software Bill of Materials, SBOM) für dein Repository.
Sicherheitsübersicht
Die Sicherheitsübersicht ermöglicht es Ihnen, die allgemeine Sicherheitslandschaft Ihrer Organisation zu überprüfen, Trends und andere Einblicke anzuzeigen und Sicherheitskonfigurationen zu verwalten, wodurch es einfach ist, den Sicherheitsstatus Ihrer Organisation zu überwachen und die Repositorys und Organisationen mit größtem Risiko zu identifizieren. Weitere Informationen findest du unter Informationen zur Sicherheitsübersicht.
Verfügbarkeit für kostenlose öffentliche Repositorys
Warnungen zur Geheimnisüberprüfung für Benutzer*innen
Automatische Erkennung von Token oder Berechtigungsnachweisen, die in ein benutzereigenes öffentliches Repository eingecheckt wurden. Du kannst Warnungen für alle Geheimnisse über die Registerkarte Sicherheit des Repositorys anzeigen, die GitHub in deinem Code findet, damit du weißt, welche Token oder Anmeldeinformationen als kompromittiert betrachtet werden müssen. Weitere Informationen findest du unter Informationen zur Geheimnisüberprüfung.
Pushschutz für Benutzer
Der Pushschutz für Benutzer schützt Sie automatisch davor, Geheimnisse versehentlich in öffentliche Repositorys zu committen, unabhängig davon, ob für das Repository selbst secret scanning aktiviert ist. Der Pushschutz für Benutzer ist standardmäßig aktiviert. Sie können das Feature jedoch jederzeit über Ihre persönlichen Kontoeinstellungen deaktivieren. Weitere Informationen findest du unter Pushschutz für Benutzer.
Warnungen zur Geheimnisüberprüfung für Partner
Automatisches Erkennen von kompromittierten Geheimnissen in allen öffentlichen Repositorys sowie öffentlichen npm-Paketen. GitHub informiert den entsprechenden Dienstanbieter darüber, dass das Geheimnis kompromittiert wurde. Weitere Informationen zu den unterstützten Geheimnissen und Dienstanbietern findest du unter Geheimnisüberprüfungsmuster.
Verfügbar mit GitHub Advanced Security
Viele GitHub Advanced Security-Features sind auf GitHub.com für alle öffentlichen Repositorys kostenlos verfügbar. Organisationen mit einem Unternehmenskonto, das über eine GitHub Advanced Security-Lizenz verfügt, können die folgenden Features in allen ihren Repositorys verwenden. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.
Informationen zum kostenlosen Testen von GitHub Advanced Security sind unter „Einrichten einer Testversion von GitHub Advanced Security“ zu finden.
Code scanning
Hiermit kannst du Sicherheitsrisiken und Fehler in neuem oder geänderten Code automatisch erkennen. Mögliche Probleme werden hervorgehoben und mit detaillierten Informationen angezeigt, damit du den Code korrigieren kannst, bevor er mit dem Standardbranch zusammengeführt wird. Weitere Informationen findest du unter Informationen zu Codescans.
Warnungen zur Geheimnisüberprüfung für Benutzer*innen
Hiermit werden Token oder Anmeldeinformationen, die in ein Repository eingecheckt wurden, automatisch erkannt. Du kannst Warnungen für alle Geheimnisse über die Registerkarte Sicherheit des Repositorys anzeigen, die GitHub in deinem Code findet, damit du weißt, welche Token oder Anmeldeinformationen als kompromittiert betrachtet werden müssen. Weitere Informationen finden Sie unter "Informationen zur Geheimnisüberprüfung."
Benutzerdefinierte Regeln für die automatische Triage
Hilfe beim Verwalten Ihrer Dependabot alerts im großen Stil. Mit Benutzerdefinierte Regeln für die automatische Triage haben Sie die Kontrolle über die Warnungen, die Sie ignorieren wollen, auf Standby setzen wollen oder für die Sie ein Dependabot-Sicherheitsupdate auslösen wollen. Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen und unter Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen.
Abhängigkeitsüberprüfung
Zeige die vollständigen Auswirkungen von Änderungen an Abhängigkeiten an, und sieh dir Details zu anfälligen Versionen an, bevor du einen Pull Request zusammenführst. Weitere Informationen findest du unter Informationen zur Abhängigkeitsüberprüfung.