Einführung
In diesem Leitfaden erfährst du, wie du Sicherheitsfunktionen für ein Repository konfigurierst. Du musst Repository-Administrator oder Organisationsbesitzer sein, um Sicherheitseinstellungen für ein Repository zu konfigurieren.
Deine Sicherheitsbedürfnisse sind für dein Repository individuell, daher musst du vielleicht nicht jedes Feature für dein Repository aktivieren. Weitere Informationen findest du unter GitHub-Sicherheitsfeatures.
Einige Features sind für Repositorys in allen Plänen verfügbar. Zusätzliche Features stehen Unternehmen zur Verfügung, die GitHub Advanced Security verwenden. GitHub Advanced Security-Features (außer der Sicherheitsübersicht) sind für alle öffentlichen Repositorys auf GitHub aktiviert. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.
Verwalten des Zugriffs auf dein Repository
Der erste Schritt zur Sicherung eines Repositorys besteht darin einzurichten, wer deinen Code sehen und ändern darf. Weitere Informationen findest du unter Verwalten der Repository-Einstellungen und -Funktionen.
Klicke auf der Hauptseite deines Repositorys auf -Einstellungen, und scrolle dann nach unten zur „Gefahrenzone“.
- Um zu ändern, wer dein Projektarchiv sehen kann, klicke auf Sichtbarkeit ändern. Weitere Informationen findest du unter Sichtbarkeit eines Repositorys festlegen.
- Um zu ändern, wer auf dein Repository zugreifen und Berechtigungen anpassen kann, klicke auf Zugriff verwalten. Weitere Informationen findest du unter Teams und Personen mit Zugriff auf Dein Repository verwalten.
Verwalten des Abhängigkeitsdiagramms
Das Abhängigkeitsdiagramm wird automatisch für alle öffentlichen Repositorys generiert. Du kannst es für Forks und für private Repositorys aktivieren. Das Abhängigkeitsdiagramm interpretiert Manifest- und Sperrdateien in einem Repository, um Abhängigkeiten zu identifizieren.
- Klicke auf der Hauptseite deines Repositorys auf -Einstellungen.
- Klicke auf Security & Analysis (Sicherheit und Analyse).
- Klicke neben dem Abhängigkeitsdiagramm auf Aktivieren oder Deaktivieren.
Weitere Informationen findest du unter Untersuchen der Abhängigkeiten eines Repositorys.
Verwalten von Dependabot alerts
Dependabot alerts werden generiert, wenn GitHub eine Abhängigkeit im Abhängigkeitsdiagramm mit einem Sicherheitsrisiko identifiziert. Du kannst Dependabot alerts für jedes Repository aktivieren.
Darüber hinaus können Sie Dependabot auto-triage rules verwenden, um Ihre Warnungen in großem Umfang zu verwalten, so dass Sie Warnungen automatisch ignorieren oder den Standbymodus aktivieren können und angeben können, für welche Warnungen Dependabot Pull Requests öffnen soll. Informationen zu den verschiedenen Typen von Regeln für die automatische Einstufung und dazu, ob Ihre Repositorys berechtigt sind, finden Sie unter „Über Auto-Triage-Regeln von Dependabot“.
Eine Übersicht über die verschiedenen Features in Dependabot und Anweisungen zu den ersten Schritten finden Sie unter „Schnellstartanleitung für Dependabot“.
- Klicke auf dein Profilfoto und dann auf Einstellung.
- Klicke auf Security & Analysis (Sicherheit und Analyse).
- Klicke auf Alle aktivieren neben Dependabot alerts.
Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen und unter Verwalten von Sicherheits- und Analyseeinstellungen für dein persönliches Konto.
Verwalten der Abhängigkeitsüberprüfung
Mit der Abhängigkeitsüberprüfung kannst du Abhängigkeitsänderungen in Pull-Anforderungen visualisieren, bevor sie in deine Repositorys zusammengeführt werden. Weitere Informationen findest du unter Informationen zur Abhängigkeitsüberprüfung.
Die Abhängigkeitsüberprüfung ist ein GitHub Advanced Security-Feature. Die Abhängigkeitsüberprüfung ist bereits für alle öffentlichen Repositorys aktiviert. Um die Abhängigkeitsüberprüfung für ein privates oder internes Repository zu aktivieren, stelle sicher, dass der Abhängigkeitsgraph aktiviert ist und aktiviere GitHub Advanced Security.
- Klicke auf der Hauptseite deines Repositorys auf Einstellungen.
- Klicke auf Security & Analysis (Sicherheit und Analyse).
- Wenn Abhängigkeitsdiagramm noch nicht aktiviert ist, klicke auf "Aktivieren".
- Wenn GitHub Advanced Security nicht aktiviert ist, klicke auf Aktivieren.
Verwalten von Dependabot security updates
Für jedes Repository, für das Dependabot alerts verwendet werden, kannst du Dependabot security updates aktivieren, um Pull Requests mit Sicherheitsupdates auszulösen, wenn Sicherheitsrisiken erkannt werden.
- Klicke auf der Hauptseite deines Repositorys auf Einstellungen.
- Klicke auf Security & Analysis (Sicherheit und Analyse).
- Klicke neben Dependabot security updates auf Aktivieren.
Weitere Informationen findest du unter Informationen zu Dependabot-Sicherheitsupdates und unter Konfigurieren von Dependabot-Sicherheitsupdates.
Verwalten von Dependabot version updates
Du kannst Dependabot zur automatisch Generierung von Pull Requests aktivieren, um deine Abhängigkeiten auf dem neuesten Stand zu halten. Weitere Informationen findest du unter Informationen zu Updates von Dependabot-Versionen.
- Klicke auf der Hauptseite deines Repositorys auf -Einstellungen.
- Klicke auf Security & Analysis (Sicherheit und Analyse).
- Klicke neben Dependabot version updates
auf Aktivieren, um eine einfache
dependabot.yml
-Konfigurationsdatei zu erstellen. - Geben Sie die zu aktualisierenden Abhängigkeiten und alle zugehörigen Konfigurationsoptionen an und committen Sie die Datei dann an das Repository. Weitere Informationen findest du unter Konfigurieren von Versionsupdates von Dependabot.
Konfigurieren von code scanning
Note
Code scanning ist für alle öffentlichen Repositorys und für private Repositorys im Besitz von Organisationen verfügbar, die Teil eines Unternehmens mit einer Lizenz für GitHub Advanced Security verwendet.
Du kannst code scanning konfigurieren, um mit einem CodeQL-Analyseworkflow oder einem Tool eines Drittanbieters automatisch Sicherheitsrisiken und Fehler in dem in deinem Repository gespeicherten Code zu identifizieren. Abhängig von den Programmiersprachen in Ihrem Repository können Sie code scanning mit CodeQL unter Verwendung der Standardeinstellungen konfigurieren, wobei GitHub automatisch die zu scannenden Sprachen, die auszuführenden Abfragesuiten und die Ereignisse bestimmt, die einen neuen Scan auslösen. Weitere Informationen findest du unter Konfigurieren des Standardsetups für das Codescanning.
- Klicke auf der Hauptseite deines Repositorys auf Einstellungen.
- Klicke im Abschnitt „Sicherheit“ auf der Seitenleiste auf Codesicherheit und -analyse.
- Wähle im Abschnitt „Code scanning“ die Option Setup aus, und klicke dann auf Standard.
- Überprüfe im angezeigten Popupfenster die Standardkonfigurationseinstellungen für dein Repository, und klicke dann auf Enable CodeQL (CodeQL aktivieren).
Alternativ dazu kannst du das erweiterte Setup verwenden, in dem eine Workflowdatei generiert wird, die du bearbeiten kannst, um das code scanning mit CodeQL anzupassen. Weitere Informationen findest du unter Konfigurieren des erweiterten Setups für das Codescanning.
Konfigurieren von secret scanning
Secret scanning ist für die folgenden Repositorys verfügbar:
- Öffentliche Repositorys (kostenlos)
- Private und interne Repositorys in Organisationen, die GitHub Enterprise Cloud mit aktiviertem GitHub Advanced Security nutzen
- Benutzereigene Repositorys für GitHub Enterprise Cloud mit Enterprise Managed Users
-
Klicke auf der Hauptseite deines Repositorys auf Einstellungen.
-
Klicke auf Codesicherheit und Analyse.
-
Wenn GitHub Advanced Security nicht aktiviert ist, klicke auf Aktivieren.
-
Klicke neben Secret scanning auf Aktivieren.
Festlegen einer Sicherheitsrichtlinie
Wenn du Repository-Maintainer bist, empfiehlt es sich, eine Sicherheitsrichtlinie für dein Repository anzugeben, indem du eine Datei mit dem Namen SECURITY.md
im Repository erstellst. Diese Datei weist Benutzer darauf hin, wie sie sich am besten mit dir in Verbindung setzen und mit dir zusammenarbeiten können, wenn sie Sicherheitsrisiken in deinem Repository melden möchten. Du kannst die Sicherheitsrichtlinie eines Repositorys auf der Registerkarte Sicherheit des Repositorys anzeigen.
- Klicke unter deinem Repositorynamen auf -Sicherheit.
- Klicke auf Sicherheitsrichtlinie.
- Klicke auf Start setup (Setup starten).
- Füge Informationen über unterstützte Versionen deines Projekts hinzu und wie du Sicherheitsrisiken melden kannst.
Weitere Informationen findest du unter Hinzufügen einer Sicherheitsrichtlinie für dein Repository.
Nächste Schritte
Du kannst Warnungen von Sicherheitsfeatures anzeigen und verwalten, um Abhängigkeiten und Sicherheitsrisiken in deinem Code zu bearbeiten. Weitere Informationen finden Sie unter „Anzeigen und Aktualisieren von Dependabot-Warnungen“, „Verwalten von Pull Requests für Abhängigkeitsupdates“, „Bewerten von Warnungen der Codeüberprüfung für das Repository“ und „Verwalten von Warnungen aus der Geheimnisüberprüfung“.
Du kannst auch die Tools von GitHub verwenden, um Antworten auf Sicherheitswarnungen zu überwachen. Weitere Informationen findest du unter Prüfen von Sicherheitswarnungen.
Wenn ein Sicherheitsrisiko in einem öffentlichen Repository besteht, kannst du eine Sicherheitsempfehlung erstellen, um das Sicherheitsrisiko privat zu besprechen und zu beheben. Weitere Informationen findest du unter Informationen zu Sicherheitsempfehlungen für Repositorys und unter Erstellen einer Sicherheitsempfehlung für ein Repository.
Wenn Sie GitHub Actions verwenden, können Sie die Sicherheitsfeatures von GitHub verwenden, um die Sicherheit Ihrer Workflows zu erhöhen. Weitere Informationen findest du unter Verwenden der Sicherheitsfeatures von GitHub zum Sichern Ihrer Verwendung von GitHub-Aktionen.