Schnellstart für die Sicherung Ihres Repositorys

Verwalte den Zugriff auf deinen Code. Finde und behebe automatisch anfälligen Code und Abhängigkeiten.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

In diesem Artikel

Einführung

In diesem Leitfaden erfährst du, wie du Sicherheitsfunktionen für ein Repository konfigurierst.

Deine Sicherheitsbedürfnisse sind für dein Repository individuell, daher musst du vielleicht nicht jedes Feature für dein Repository aktivieren. Weitere Informationen finden Sie unter GitHub-Sicherheitsfeatures.

Einige Features sind für alle Repositorys verfügbar. Zusätzliche Features sind Organisationen und Unternehmen verfügbar, die GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security verwenden. Weitere Informationen finden Sie unter Informationen zu GitHub Advanced Security.

Verwalten des Zugriffs auf dein Repository

Der erste Schritt zur Sicherung eines Repositorys besteht darin einzurichten, wer deinen Code sehen und ändern darf. Weitere Informationen finden Sie unter Verwalten der Einstellungen und Features Ihres Repositorys.

Klicken Sie auf der Hauptseite Ihres Repositorys auf "Einstellungen", und scrollen Sie dann nach unten zur "Gefahrenzone".

Verwalten des Abhängigkeitsdiagramms

Unternehmensbesitzende können das Abhängigkeitsdiagramm und Dependabot alerts für ein Unternehmen konfigurieren. Weitere Informationen findest du unter Aktivieren des Abhängigkeitsdiagramms für dein Unternehmen und Aktivieren von Dependabot für dein Unternehmen.

Weitere Informationen finden Sie unter Untersuchen der Abhängigkeiten eines Repositorys.

Verwalten Dependabot alerts

          Dependabot alerts werden generiert, wenn GitHub eine Abhängigkeit im Abhängigkeitsdiagramm mit einer Sicherheitsanfälligkeit identifiziert wird.

Darüber hinaus können Sie Dependabot auto-triage rules verwenden, um Ihre Warnungen in großem Umfang zu verwalten, so dass Sie Warnungen automatisch ignorieren oder den Standbymodus aktivieren können und angeben können, für welche Warnungen Dependabot Pull Requests öffnen soll. Weitere Informationen zu den verschiedenen Typen von Regeln für die automatische Triage und zu den Berechtigungen deiner Repositorys findest du unter Über Auto-Triage-Regeln von Dependabot.

Eine Übersicht über die verschiedenen Features von Dependabot und Anweisungen zu den ersten Schritten findest du unter Schnellstartanleitung für Dependabot.

Unternehmensbesitzer*innen müssen das Abhängigkeitsdiagramm und Dependabot alerts für ein Unternehmen konfigurieren.

Sobald Dependabot alerts konfiguriert wurden, können Repositoryadmins und Organisationsbesitzende Dependabot alerts auf der Advanced Security-Einstellungsseite für private und interne Repositorys aktivieren. Öffentliche Repositorys sind standardmäßig aktiviert. Weitere Informationen findest du unter Aktivieren des Abhängigkeitsdiagramms für dein Unternehmen, Aktivieren von Dependabot für dein Unternehmen und Konfigurieren von Dependabot-Warnungen.

Weitere Informationen finden Sie unter Informationen zu Dependabot-Warnungen und .

Verwaltung der Abhängigkeitsüberprüfung

Mit der Abhängigkeitsüberprüfung kannst du Abhängigkeitsänderungen in Pull-Anforderungen visualisieren, bevor sie in deine Repositorys zusammengeführt werden. Weitere Informationen finden Sie unter Informationen zur Abhängigkeitsüberprüfung.

Die Abhängigkeitsüberprüfung ist eine GitHub Code Security Funktion.

Um die Abhängigkeitsüberprüfung für ein Repository zu aktivieren, stellen Sie sicher, dass das Abhängigkeitsdiagramm aktiviert ist.

  1. Klicken Sie auf der Hauptseite Ihres Repositorys auf "Einstellungen".
  2. Klicken Sie auf Advanced Security.
  3. Überprüfen Sie, ob Abhängigkeitsdiagramm für Ihr Unternehmen konfiguriert ist.

Verwalten Dependabot security updates

Für jedes Repository, das Dependabot alerts verwendet, können Sie Dependabot security updates aktivieren, um Pull-Requests mit Sicherheitsupdates auszulösen, sobald Sicherheitsrisiken erkannt werden.

  1. Klicken Sie auf der Hauptseite Ihres Repositorys auf "Einstellungen".
  2. Klicken Sie auf Advanced Security.
  3. Klicken Sie neben Dependabot security updates auf "Aktivieren".

Weitere Informationen findest du unter Informationen zu Dependabot-Sicherheitsupdates und Konfigurieren von Dependabot-Sicherheitsupdates.

Verwalten Dependabot version updates

Sie können Dependabot aktivieren, um automatisch Pull-Requests auszulösen und Ihre Abhängigkeiten aktuell zu halten. Weitere Informationen finden Sie unter Informationen zu Updates von Dependabot-Versionen.

Zum Aktivieren Dependabot version updatesmüssen Sie eine dependabot.yml Konfigurationsdatei erstellen. Weitere Informationen finden Sie unter Konfigurieren von Dependabot-Versionsupdates.

Konfigurieren Code Security

          GitHub Code Security, code scanning, CodeQL CLI und Copilot Autofix, sowie weitere Features, die Sicherheitsrisiken in Ihrer Codebasis erkennen und beheben.

Sie können code scanning so konfigurieren, dass Sicherheitsrisiken und Fehler im Code, der in Ihrem Repository gespeichert ist, automatisch mithilfe eines CodeQL-Analyseworkflow- oder eines Drittanbieter-Tools identifiziert werden. Abhängig von den Programmiersprachen in Ihrem Repository können Sie code scanning mithilfe des Standardsetups konfigurieren, wobei CodeQLGitHub automatisch die zu scannenden Sprachen, die auszuführenden Abfragesammlungen und die Ereignisse, die einen neuen Scan auslösen, bestimmt. Weitere Informationen finden Sie unter Konfigurieren des Standardsetups für das Code-Scanning.

  1. Klicken Sie auf der Hauptseite Ihres Repositorys auf "Einstellungen".
  2. Klicken Sie im Abschnitt "Sicherheit" der Randleiste auf Advanced Security.
  3. Wenn "Code Security" oder "GitHub Advanced Security" noch nicht aktiviert ist, klicken Sie auf "Aktivieren".
  4. Wählen Sie rechts neben "CodeQL-Analyse" die Option "Einrichten" aus, und klicken Sie dann auf "Standard".
  5. Überprüfen Sie im daraufhin angezeigten Popupfenster die Standardkonfigurationseinstellungen für Ihr Repository, und klicken Sie dann auf "Aktivieren" CodeQL.

Als Alternative zum Standardsetup können Sie das erweiterte Setup verwenden, bei dem eine Workflowdatei generiert wird, die Sie bearbeiten können, um Ihr code scanningCodeQLanzupassen. Weitere Informationen finden Sie unter Konfigurieren des erweiterten Setups für das Code-Scanning.

Konfigurieren Secret Protection

          GitHub Secret Protection umfasst secret scanning und Pushschutz sowie andere Features, mit denen Sie geheime Lecks in Ihrem Repository erkennen und verhindern können.
  1. Klicken Sie auf der Hauptseite Ihres Repositorys auf "Einstellungen".
  2. Klicken Sie auf Advanced Security.
  3. Wenn "Secret Protection" oder "GitHub Advanced Security" noch nicht aktiviert ist, klicken Sie auf "Aktivieren".
  4. Wenn die Option "Secret scanning" angezeigt wird, klicken Sie auf "Aktivieren".
  5. Wählen Sie aus, ob Sie zusätzliche Features aktivieren möchten, z. B. das Scannen nach Nicht-Anbietermustern und Pushschutz.

Festlegen einer Sicherheitsrichtlinie

Wenn du Repository-Maintainer bist, empfiehlt es sich, eine Sicherheitsrichtlinie für dein Repository anzugeben, indem du eine Datei mit dem Namen SECURITY.md im Repository erstellst. Diese Datei weist Benutzer darauf hin, wie sie sich am besten mit dir in Verbindung setzen und mit dir zusammenarbeiten können, wenn sie Sicherheitsrisiken in deinem Repository melden möchten. Sie können die Sicherheitsrichtlinie eines Repositorys auf der Registerkarte des Repositorys Security anzeigen.

  1. Klicken Sie auf der Hauptseite Ihres Repositorys auf Security.
  2. Klicken Sie in der linken Randleiste unter "Berichterstellung" auf "Richtlinie".
  3. Klicke auf Start setup (Setup starten).
  4. Füge Informationen über unterstützte Versionen deines Projekts hinzu und wie du Sicherheitsrisiken melden kannst.

Weitere Informationen finden Sie unter Hinzufügen einer Sicherheitsrichtlinie für dein Repository.

Nächste Schritte

Du kannst Warnungen von Sicherheitsfeatures anzeigen und verwalten, um Abhängigkeiten und Sicherheitsrisiken in deinem Code zu bearbeiten. Weitere Informationen findest du unter Anzeigen und Aktualisieren von Dependabot-Warnungen, Verwalten von Pull Requests für Abhängigkeitsupdates, Bewertung von Code-Scanning-Warnungen für Ihr Repository und Verwalten von Warnungen zur Geheimnisüberprüfung.

Sie können auch die Tools von GitHub verwenden, um Antworten auf Sicherheitswarnungen zu überprüfen. Weitere Informationen finden Sie unter Prüfen von Sicherheitswarnungen.

Wenn Sie GitHub Actions verwenden, können Sie die Sicherheitsfeatures von GitHub verwenden, um die Sicherheit Ihrer Workflows zu erhöhen. Weitere Informationen finden Sie unter Referenz zur sicheren Verwendung.