Informationen zur Verwaltung von Sicherheits- und Analyseeinstellungen
GitHub kann dabei helfen, die Repositorys in deiner Organisation zu schützen. Du kannst die Sicherheits- und Analysefeatures für alle vorhandenen oder neuen Repositorys verwalten, die Mitglieder in deiner Organisation erstellen. Organisationen, die GitHub Enterprise Cloud mit einer Lizenz für GitHub Advanced Security verwenden, können auch den Zugriff auf diese Features verwalten. Weitere Informationen findest du in der Dokumentation zu GitHub Enterprise Cloud.
Hinweis: Einige Sicherheits- und Analysefunktionen, die standardmäßig für öffentliche Repositorys aktiviert sind, lassen sich nicht deaktivieren.
Anzeigen der Sicherheits- und Analyseeinstellungen
- Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto, und klicke dann auf Deine Organisationen.
2. Klicke neben der Organisation auf Einstellungen.
- Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.
Auf der angezeigten Seite kannst du alle Sicherheits- und Analysefeatures für die Repositorys in deiner Organisation aktivieren oder deaktivieren.
Aktivieren oder Deaktivieren eines Features für alle vorhandenen Repositorys
Du kannst Features für alle Repositorys aktivieren oder deaktivieren. Die Auswirkungen deiner Änderungen auf Repositorys in deiner Organisation hängen von ihrer Sichtbarkeit ab:
- Abhängigkeitsdiagramm: Deine Änderungen wirken sich nur auf private Repositorys aus, da das Feature für öffentliche Repositorys immer aktiviert ist.
- Dependabot alerts: Deine Änderungen wirken sich auf alle Repositorys aus.
- Dependabot security updates: Deine Änderungen wirken sich auf alle Repositorys aus.
- Wechsle zu den Sicherheits- und Analyseeinstellungen für deine Organisation. Weitere Informationen findest du unter Anzeigen der Sicherheits- und Analyseeinstellungen.
- Klicke unter „Codesicherheit und -analyse“ rechts neben dem Feature auf Alle deaktivieren oder Alle aktivieren.
- Du kannst das Feature auch standardmäßig für neue Repositorys in deiner Organisation aktivieren.
- Klicke auf FEATURE deaktivieren oder FEATURE aktivieren, um das Feature für alle Repositorys in deiner Organisation zu deaktivieren oder zu aktivieren.
Wenn du ein oder mehrere Sicherheits- und Analysefeatures für vorhandene Repositorys aktivierst, werden alle Ergebnisse innerhalb von Minuten in GitHub angezeigt:
- Alle vorhandenen Repositorys verfügen über die ausgewählte Konfiguration.
- Neue Repositorys folgen der ausgewählten Konfiguration, wenn du das Kontrollkästchen für neue Repositorys aktiviert hast.
- Wir verwenden die Berechtigungen zum Suchen nach Manifestdateien, um die relevanten Dienste anzuwenden.
- Ist diese Option aktiviert, werden Abhängigkeitsinformationen im Abhängigkeitsdiagramm angezeigt.
- Ist diese Option aktiviert, generiert GitHub Dependabot alerts für anfällige Abhängigkeiten oder Schadsoftware.
- Ist diese Option aktiviert, erstellen Dependabot-Sicherheitsupdates Pullanforderungen, um anfällige Abhängigkeiten zu aktualisieren, wenn Dependabot alerts ausgelöst werden.
Automatisches Aktivieren oder Deaktivieren eines Features, wenn neue Repositorys hinzugefügt werden
- Wechsle zu den Sicherheits- und Analyseeinstellungen für deine Organisation. Weitere Informationen findest du unter Anzeigen der Sicherheits- und Analyseeinstellungen.
- Aktiviere oder deaktiviere das Feature unter „Codesicherheit und -analyse“ rechts von dem Feature standardmäßig für neue Repositorys oder alle neuen privaten Repositorys in deiner Organisation.
Zulassen, dass Dependabot auf private Abhängigkeiten zugreifen kann
Dependabot kann nach veralteten Abhängigkeitsverweisen in einem Projekt suchen und automatisch ein Pull Request generieren, um sie zu aktualisieren. Dazu benötigt Dependabot Zugriff auf alle Zielabhängigkeitsdateien. Für gewöhnlich schlagen Versionsupdates fehl, wenn auf mindestens eine Abhängigkeit nicht zugegriffen werden kann. Weitere Informationen findest du unter Informationen zu Versionsupdates von Dependabot.
Standardmäßig kann Dependabot Abhängigkeiten in privaten Repositorys oder privaten Paketregistrierungen nicht aktualisieren. Wenn sich eine Abhängigkeit jedoch in einem privaten Repository von GitHub innerhalb derselben Organisation befindet wie das Projekt, das die Abhängigkeit verwendet, kannst du Dependabot erlauben, die Version erfolgreich zu aktualisieren, indem du Zugriff auf das Hostrepository gewährst.
Wenn dein Code von Paketen in einer privaten Registrierung abhängt, kannst du Dependabot erlauben, die Versionen dieser Abhängigkeiten durch Konfigurieren auf Repositoryebene zu aktualisieren. Füge dazu der Datei dependabot.yml Authentifizierungsdetails für das Repository hinzu. Weitere Informationen findest du unter Konfigurationsoptionen für die Datei „dependabot.yml“.
So gewährst du Dependabot Zugriff auf ein privates Repository von GitHub:
-
Wechsle zu den Sicherheits- und Analyseeinstellungen für deine Organisation. Weitere Informationen findest du unter Anzeigen der Sicherheits- und Analyseeinstellungen.
-
Klicke unter „Dependabot-Zugriff auf private Repositorys“ auf Private Repositorys hinzufügen oder Interne und private Repositorys hinzufügen.
-
Gib die ersten Buchstaben des Namens des Repositorys ein, auf das du den Zugriff zulassen möchtest.
-
Klicke auf das Repository, auf das du den Zugriff zulassen möchtest.
-
Um ein Repository aus der Liste zu entfernen, kannst du auch rechts von dem Repository auf klicken.