Konfigurieren globaler Sicherheitseinstellungen für Ihre Organisation

Passen Sie Features für Ihre Organisation an, indem Sie Advanced Security globale Einstellungen definieren, die konsistente Sicherheitsstandards gewährleisten und alle Ihre Repositorys schützen.

Wer kann dieses Feature verwenden?

Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Organisationsmitglieder mit der Administratorrolle

In diesem Artikel

Zugreifen auf die global settings Seite für Ihre Organisation

  1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.

  2. Klicke unter dem Organisationsnamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot der Registerkarten im Profil einer Organisation. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Wählen Sie im Abschnitt "Sicherheit" der Randleiste das Advanced Security Dropdownmenü aus, und klicken Sie dann auf Global settings.

Konfigurieren globaler Dependabot Einstellungen

Sie können mehrere global settings anpassen für Dependabot:

Erstellen und Verwalten Dependabot auto-triage rules

Sie können Dependabot auto-triage rules erstellen und verwalten, um Dependabot anzuweisen, Dependabot alerts automatisch zu verwerfen oder zu verschieben, und sogar Pull-Anfragen öffnen, um mögliche Lösungen zu finden. Zum Konfigurieren Dependabot auto-triage rules klicken Sie auf und erstellen oder bearbeiten Sie eine Regel:

  • Sie können eine neue Regel erstellen, indem Sie auf Neue Regel klicken, dann die Details für Ihre Regel eingeben und auf Regel erstellen klicken.
  • Sie können eine vorhandene Regel bearbeiten, indem Sie auf die gewünschten Änderungen klicken und dann auf " Regel speichern" klicken.

Weitere Informationen Dependabot auto-triage rulesfinden Sie unter Über Auto-Triage-Regeln von Dependabot und Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen.

Gruppierung Dependabot security updates

          Dependabot kann alle automatisch vorgeschlagenen Sicherheitsupdates in einer einzigen Pull-Anforderung gruppieren. Um gruppierte Sicherheitsupdates zu aktivieren, wählen Sie **Gruppierte Sicherheitsupdates**. Weitere Informationen über gruppierte Updates und Anpassungsoptionen finden Sie unter [AUTOTITLE](/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/configuring-dependabot-security-updates#grouping-dependabot-security-updates-into-a-single-pull-request).

Aktivieren von Abhängigkeitsupdates für GitHub Actions Läufer

Wenn sowohl Dependabot als auch GitHub Actions für vorhandene Repositories in Ihrer Organisation aktiviert sind, verwendet GitHub automatisch GitHub-gehostete Runner, um Abhängigkeitsupdates für diese Repositories auszuführen.

Andernfalls, um Dependabot die GitHub Actions Runner für Abhängigkeitsupdates bei allen bestehenden Repositories in der Organisation verwenden zu lassen, wählen Sie "Dependabot auf Actions-Runnern" aus.

Weitere Informationen finden Sie unter Informationen zu Dependabot über GitHub Actions-Runner.

Konfigurieren des Läufertyps für Dependabot

Sie können einstellen, welchen Typ von Prozessor Dependabot verwendet wird, um nach Version- und Sicherheitsupdates zu suchen. Standardmäßig werden GitHub**** Läufer verwendet. Sie können Dependabot so konfigurieren, dass selbst gehostete Runner mit benutzerdefinierten Bezeichnungen verwendet werden, was Ihnen ermöglicht, in vorhandene Runner-Infrastruktur wie Actions Runner Controller, z. B. ARC, zu integrieren.

Hinweis

  • Aus Sicherheitsgründen werden von DependabotGitHub-gehostete Runner für öffentliche Repositories verwendet, auch wenn Sie bezeichnete Runner konfigurieren.
  • Bezeichnete Runners arbeiten nicht mit öffentlichen Repositorys.

So konfigurieren Sie den Läufertyp:

  1. Wählen Sie unter "Dependabot" neben "Runner type" die Option aus.
  2. Wählen Sie im Dialogfeld "Läufertyp für Dependabot bearbeiten" den Läufertyp aus, den Dependabot verwenden soll:
    • StandardläuferGitHub.
    • Labeled Runner: Wenn Sie diese Option auswählen, werden selbst gehostete Runner verwendet, Dependabot die mit der von Ihnen angegebenen Bezeichnung übereinstimmen.
  3. Wenn Sie Etikettierter Läufer ausgewählt haben:
    • Geben Sie in "Runner Label" die Bezeichnung ein, die Ihren selbst gehosteten Läufern zugewiesen ist. Dependabot verwendet Läufer mit dieser Bezeichnung. Standardmäßig wird die dependabot Bezeichnung verwendet, Sie können jedoch eine benutzerdefinierte Bezeichnung angeben, die Ihrer vorhandenen Läuferinfrastruktur entspricht.
    • Geben Sie optional unter "Runner-Gruppenname" den Namen einer Läufergruppe ein, wenn Sie eine bestimmte Gruppe von Läufern ansprechen möchten.
  4. Klicken Sie auf " Läuferauswahl speichern".

Weitere Informationen zum Konfigurieren von selbst gehosteten Läufern finden Sie unter DependabotKonfigurieren von Dependabot für selbst gehostete Läufer.

Gewähren des Dependabot Zugriffs auf private Repositorys

Um private Abhängigkeiten von Repositorys in Ihrer Organisation zu aktualisieren, benötigt Dependabot Zugriff auf diese Repositorys. Um Zugriff auf das gewünschte private Dependabotoder interne , scrollen Sie nach unten zum Abschnitt "Zugriff auf private Repositorys gewährenDependabot", und verwenden Sie dann die Suchleiste, um das gewünschte Repository zu suchen und auszuwählen. Beachten Sie, dass, wenn der Zugriff auf ein Repository gewährt wird, dies bedeutet, dass alle Benutzer Ihrer Organisation durch Dependabot updates Zugriff auf die Inhalte dieses Repositorys haben. Weitere Informationen über die unterstützten Ökosysteme für private Repositories finden Sie unter Von Dependabot unterstützte Ökosysteme und Repositorys.

Konfigurieren globaler code scanning Einstellungen

Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codefehler zu finden. Alle von der Analyse ermittelten Probleme werden im Repository angezeigt.

Sie können mehrere global settings anpassen für code scanning:

          * [Aktivieren Copilot Autofix für CodeQL](#enabling-copilot-autofix-for-codeql)

Empfehlung der erweiterten Abfragesuite für die Standardeinstellung

          Code scanning bietet bestimmte Gruppen von CodeQL-Abfragen, die als CodeQL-Abfragesammlungen bezeichnet werden, um sie mit Ihrem Code auszuführen. Standardmäßig wird die Abfragesuite „Standard“ ausgeführt. 
          GitHub bietet auch die Abfragesuite "Extended", die alle Abfragen in der Abfragesuite "Standard" enthält, sowie zusätzliche Abfragen mit geringerer Genauigkeit und Schweregrad. Um die „Erweiterte“ Abfragesuite in Ihrer Organisation vorzuschlagen, wählen Sie **Empfehlen der erweiterten Abfragesuite für Repositories zur Aktivierung der Standardeinstellungen**. Weitere Informationen zu integrierten Abfragesammlungen für CodeQL die Standardeinrichtung finden Sie unter [AUTOTITLE](/code-security/concepts/code-scanning/codeql/codeql-query-suites).

Aktivieren Copilot Autofix für CodeQL

Sie können Copilot Autofix auswählen, um Copilot Autofix für alle Repositorys in Ihrer Organisation zu aktivieren, die das CodeQL Standardsetup oder das CodeQL erweiterte Setup verwenden. Copilot Autofix ist eine Erweiterung von code scanning, die Korrekturen für code scanning-Warnungen vorschlägt. Weitere Informationen finden Sie unter Verantwortungsvolle Verwendung von Copilot Autofix für die Codeüberprüfung.

Erweiterung der CodeQL Analyse

Sie können die Analyseabdeckung für alle Repositorys in Ihrer Organisation, die das Standardsetup verwenden, erweitern, indem Sie Modellpakete konfigurieren. Modellpakete erweitern die CodeQL Analyse, um zusätzliche Frameworks und Bibliotheken zu erkennen, die nicht in den Standardbibliotheken CodeQL enthalten sind. Diese globale Konfiguration gilt für Repositorys mit Standardsetup und ermöglicht Ihnen die Angabe von Modellpaketen, die über die Containerregistrierung veröffentlicht wurden. Weitere Informationen finden Sie unter Bearbeiten der Konfiguration des Standardsetups.

Konfigurieren globaler secret scanning Einstellungen

Secret scanning ist ein Sicherheitstool, das den gesamten Git-Verlauf von Repositorys sowie Probleme, Pullanforderungen, Diskussionen und Wikis in diesen Repositorys auf geleakte Geheimnisse, die versehentlich übergeben wurden, z. B. Tokens oder private Schlüssel.

Sie können mehrere global settings anpassen für secret scanning:

Um Entwicklern Kontext zu bieten, wenn secret scanning ein Commit blockiert wird, können Sie einen Link mit weiteren Informationen dazu anzeigen, warum der Commit blockiert wurde. Um einen Link einzubinden, wählen Sie Hinzufügen eines Ressourcenlinks in der CLI und der Web-UI, wenn eine Übertragung blockiert ist. Geben Sie im Textfeld den Link zur gewünschten Ressource ein, und klicken Sie dann auf " Verknüpfung.

Definieren benutzerdefinierter Muster

Sie können benutzerdefinierte Muster für secret scanning mithilfe von regulären Ausdrücken definieren. Benutzerdefinierte Muster können geheime Schlüssel identifizieren, die von den standard unterstützten secret scanningMustern nicht erkannt werden. Um ein benutzerdefiniertes Muster zu erstellen, klicken Sie auf Neues Muster, geben Sie dann die Details für Ihr Muster ein und klicken Sie auf Speichern und Trockenlauf. Weitere Informationen zu benutzerdefinierten Mustern findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.

Angeben von Mustern, die in den Pushschutz integriert werden sollen

Hinweis

Die Konfiguration von Mustern für den Pushschutz auf Unternehmens- und Organisationsebene befindet sich derzeit in der öffentliche Vorschau. Änderungen sind vorbehalten.

Du kannst anpassen, welche geheimen Muster im Pushschutz integriert sind, sodass Sicherheitsteams besser kontrollieren können, welche Arten von Geheimnissen in den Repositorys in deiner Organisation blockiert werden.

  1. Klicken Sie unter "Zusätzliche Einstellungen" im Abschnitt "Secret scanning" und rechts neben "Musterkonfigurationen" auf .
  2. Nimm auf der Seite, die angezeigt wird, die gewünschten Änderungen in der Spalte „Organization setting“ vor.

Du kannst den Pushschutz für einzelne Muster aktivieren oder deaktivieren, indem du die Umschaltfläche in der relevanten Spalte verwendest: „Enterprise setting“ auf Unternehmensebene und „Organization setting“ auf Organisationsebene.

Die Daten sind auf den Umfang beschränkt, weshalb das Warnungsvolumen, falsch positive Ergebnisse, die Umgehungsrate oder die Verfügbarkeit von benutzerdefinierten Mustern die Benutzer-/Warnungsaktivität innerhalb des Unternehmens oder der Organisation widerspiegeln.

Die Standardeinstellung von GitHub kann sich im Laufe der Zeit ändern, wenn wir die Genauigkeit erhöhen und Muster weiterentwickeln.

Hinweis

Organisationsadministratoren und Sicherheitsteams können Einstellungen außer Kraft setzen, die auf Unternehmensebene konfiguriert sind.

Weitere Informationen zum Lesen von Daten auf der secret scanning Musterkonfigurationsseite finden Sie unter Konfigurationsdaten für Secret-Scanning-Muster.

Erstellung von Sicherheitsmanagern für Ihre Organisation

Die Rolle des Sicherheitsmanagers gibt Mitgliedern Ihrer Organisation die Möglichkeit, Sicherheitseinstellungen und Warnmeldungen in Ihrer gesamten Organisation zu verwalten. Sicherheitsverantwortliche können über die Sicherheitsübersicht die Daten für alle Repositories in Ihrer Organisation einsehen.

Weitere Informationen zur Rolle des Sicherheitsmanagers findest du unter Verwalten von Sicherheitsmanagern in deiner Organisation.

Informationen zum Zuweisen der Rolle „Sicherheitsmanager“ findest du unter Verwenden von Organisationsrollen.