Erstellen einer benutzerdefinierten Sicherheitskonfiguration

Wenn Sie mit den Sicherheitsprodukten von GitHub vertraut sind und spezielle Sicherheitsanforderungen haben, die die GitHub-recommended security configuration nicht erfüllen kann, können Sie custom security configurations erstellen und anwenden. Weitere Informationen finden Sie unter Sicherheitskonfigurationen.

Erstellen einer Secret Protection and Code Security-Konfiguration

1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.

2. Klicke unter dem Organisationsnamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

   

3. Wähle im Abschnitt „Security“ der Randleiste das Dropdownmenü Advanced Security aus, und klicke anschließend auf Configurations.

4. Klicke im Abschnitt „Security configurations“ auf New configuration.

5. Um deine custom security configuration zu identifizieren und ihren Zweck auf der Seite „Security configurations“ zu erläutern, benenne deine Konfiguration, und erstelle eine Beschreibung.

6. Optional kannst du das kostenpflichtige Feature „Secret Protection“ für private Repositorys aktivieren. Durch das Aktivieren von Secret Protection werden Warnungen für secret scanning aktiviert. Darüber hinaus kannst du auswählen, ob du die vorhandenen Einstellungen für die folgenden secret scanning-Features aktivieren, deaktivieren oder beibehalten möchtest: * Gültigkeitsprüfungen. Weitere Informationen zu Gültigkeitsprüfungen für Partnermuster finden Sie unter Informationen zu Gültigkeitsprüfungen und Bewerten von Warnungen aus der Geheimnisüberprüfung. * Erweiterte Metadaten. Weitere Informationen zu erweiterten Metadatenüberprüfungen finden Sie unter "Informationen zu erweiterten Metadatenüberprüfungen und Bewerten von Warnungen aus der Geheimnisüberprüfung".

   Hinweis

   Erweiterte Metadatenprüfungen können nur aktiviert werden, wenn Gültigkeitsprüfungen aktiviert sind.

   •     **Nicht-Anbieter-Muster**. Weitere Informationen zum Suchen nach Nichtanbietermustern findest du unter [AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns#non-provider-patterns) und [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/viewing-alerts).
     

   •     **Scan für generische Kennwörter**. Weitere Informationen findest du unter [AUTOTITLE](/code-security/secret-scanning/copilot-secret-scanning/responsible-ai-generic-secrets).
     

   •     **Push-Schutz**. Weitere Informationen zum Push-Schutz findest du unter [AUTOTITLE](/code-security/secret-scanning/introduction/about-push-protection).
     

   •     **Bypass-Privilegien**. Durch Zuweisen von Umgehungsrechten können ausgewählte Organisationsmitglieder den Push-Schutz umgehen, und es gibt einen Überprüfungs- und Genehmigungsprozess für alle anderen Mitwirkenden. Weitere Informationen findest du unter [AUTOTITLE](/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/delegated-bypass-for-push-protection/about-delegated-bypass-for-push-protection).
     

   •     **Verhindern von direkten Warnhinweisen**. Weitere Informationen findest du unter [AUTOTITLE](/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/enabling-delegated-alert-dismissal-for-secret-scanning).
     

7. Optional kannst du das kostenpflichtige Feature „Code Security“ für private Repositorys aktivieren. Du kannst auswählen, ob du die vorhandenen Einstellungen für die folgenden code scanning-Features aktivieren, deaktivieren oder beibehalten möchtest: * Standardeinrichtung. Weitere Informationen zum Standardsetup findest du unter Konfigurieren des Standardsetups für das Code-Scanning.

•      **Runner Typ**. Wenn du bestimmte Runner für code scanning festlegen möchtest, kannst du in diesem Schritt Runner mit benutzerdefinierter Bezeichnung verwenden. Weitere Informationen findest du unter [AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning#assigning-labels-to-runners).
  

* 

          **Verhindern von direkten Warnhinweisen**. Weitere Informationen findest du unter [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/enabling-delegated-alert-dismissal-for-code-scanning).

1. Wähle in der Tabelle „Dependency scanning“ unter „Code Security“ aus, ob du die vorhandenen Einstellungen für die folgenden Features der Abhängigkeitsüberprüfung aktivieren, deaktivieren oder beibehalten möchtest: * Abhängigkeitsdiagramm Weitere Informationen zum Abhängigkeitsdiagramm findest du unter Informationen zum Abhängigkeitsdiagramm.

   Tipp

   Werden sowohl „Code Security“ als auch das Abhängigkeitsdiagramm aktiviert, wird zugleich die Abhängigkeitsüberprüfung aktiviert. Weitere Informationen findest du unter Informationen zur Abhängigkeitsüberprüfung.

   •      **Automatische Übermittlung von Abhängigkeiten**. Informationen zur automatischen Abhängigkeitseinreichung findest du unter [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-automatic-dependency-submission-for-your-repository).
     

   •      **Dependabot Warnungen**. Weitere Informationen zu Dependabot findest du unter [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts).
     

   •      **Sicherheitsupdates**. Um mehr über Sicherheitsupdates zu erfahren, siehe [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).
     

   •      **Verhindern von direkten Warnhinweisen**. Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/dependabot/dependabot-alerts/enable-delegated-alert-dismissal). 
     

2. Du kannst auswählen, ob du die vorhandenen Einstellungen für „Private vulnerability reporting“ aktivieren, deaktivieren oder beibehalten möchtest. Um zu erfahren, wie du private Schwachstellen meldest, siehe Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository.

3. Optional kannst du im Abschnitt „Policy“ steuern, wie die Konfiguration angewendet werden soll: * Als Standard für neu erstellte Repositories verwenden. Wähle das Dropdownmenü None aus, und klicke anschließend auf Public, Private and internal oder All repositories.

   Hinweis

   Die Standardeinstellung security configuration für eine Organisation wird nur automatisch auf neue Repositorys angewendet, die in deiner Organisation erstellt werden. Wenn ein Repository in Ihre Organisation übertragen wird, müssen Sie immer noch eine entsprechende security configuration manuell auf das Repository anwenden.

   •      **Konfiguration erzwingen**. Hindere Repositorybesitzer daran, Features zu ändern, die in der Konfiguration aktiviert oder deaktiviert wurden (nicht festgelegte Features werden nicht erzwungen). Wähle im Dropdownmenü die Option **Enforce** aus.
     

   Hinweis

   In einigen Fällen kann die Erzwingung von security configurations unterbrochen werden. Weitere Informationen findest du unter Erzwingung der Sicherheitskonfiguration.

4. Klicken Sie auf Konfiguration speichern, um die Erstellung Ihrer custom security configuration abzuschließen.

Erstellen einer GitHub Advanced Security-Konfiguration

1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.

2. Klicke unter dem Organisationsnamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

   

3. Wähle im Abschnitt „Security“ der Randleiste das Dropdownmenü Advanced Security aus, und klicke anschließend auf Configurations.

4. Klicke im Bereich „Sicherheitskonfigurationen“ auf Neue Konfiguration.

5. Um deine custom security configuration zu identifizieren und ihren Zweck auf der Seite „Neue Konfiguration“ zu verdeutlichen, benenne deine Konfiguration und erstelle eine Beschreibung.

6. Wähle in der Zeile „GitHub Advanced Security features“ aus, ob GitHub Advanced Security-Features (GHAS) ein- oder ausgeschlossen werden sollen.

7. Wähle in der Tabelle „Secret scanning“ aus, ob du die bestehenden Einstellungen für die folgenden Sicherheitsfunktionen aktivieren, deaktivieren oder beibehalten möchtest: * Gültigkeitsprüfungen. Weitere Informationen zu Gültigkeitsüberprüfungen für Partnermuster findest du unter Bewerten von Warnungen aus der Geheimnisüberprüfung. * Nicht-Anbieter-Muster. Weitere Informationen zum Suchen nach Nichtanbietermustern findest du unter Unterstützte Scanmuster für Secrets und Anzeigen und Filtern von Warnungen aus der Secrets-Überprüfung. * Scan für generische Kennwörter. Weitere Informationen findest du unter Verantwortungsvolle Erkennung von generischen Geheimnissen mit Copilot Secret Scanning. * Push-Schutz. Weitere Informationen zum Push-Schutz findest du unter Informationen zum Pushschutz. * Bypass-Privilegien. Durch Zuweisen von Umgehungsrechten können ausgewählte Organisationsmitglieder den Push-Schutz umgehen, und es gibt einen Überprüfungs- und Genehmigungsprozess für alle anderen Mitwirkenden. Weitere Informationen findest du unter Info zur delegierten Umgehung für den Pushschutz. * Verhindern von direkten Warnhinweisen. Weitere Informationen findest du unter Aktivieren des delegierten Schließens von Warnungen für die Geheimnisüberprüfung.

8. Wähle in der Tabelle „Code scanning“ aus, ob du die bestehenden Einstellungen für die code scanning Standardeinrichtung aktivieren, deaktivieren oder beibehalten möchtest. * Standardeinrichtung. Weitere Informationen zum Standardsetup findest du unter Konfigurieren des Standardsetups für das Code-Scanning.

•      **Runner Typ**. Wenn du bestimmte Runner für code scanning festlegen möchtest, kannst du in diesem Schritt Runner mit benutzerdefinierter Bezeichnung verwenden. Weitere Informationen findest du unter [AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning#assigning-labels-to-runners).
  

* 

          **Verhindern von direkten Warnhinweisen**. Weitere Informationen findest du unter [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/enabling-delegated-alert-dismissal-for-code-scanning).

1. Wähle in der Tabelle „Scannen von Abhängigkeiten“ aus, ob du die bestehenden Einstellungen für die folgenden Funktionen des Scannens von Abhängigkeiten aktivieren, deaktivieren oder beibehalten möchtest: * Abhängigkeitsdiagramm Weitere Informationen zum Abhängigkeitsdiagramm findest du unter Informationen zum Abhängigkeitsdiagramm.

   Tipp

   Wenn sowohl „GitHub Advanced Security“ als auch der Dependency graph aktiviert sind, ermöglicht dies die Überprüfung von Abhängigkeiten, siehe Informationen zur Abhängigkeitsüberprüfung.

   •      **Automatische Übermittlung von Abhängigkeiten**. Informationen zur automatischen Abhängigkeitseinreichung findest du unter [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-automatic-dependency-submission-for-your-repository).
     

   •      **Dependabot Warnungen**. Weitere Informationen zu Dependabot findest du unter [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts).
     

   •      **Sicherheitsupdates**. Um mehr über Sicherheitsupdates zu erfahren, siehe [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).
     

   •      **Verhindern von direkten Warnhinweisen**. Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/dependabot/dependabot-alerts/enable-delegated-alert-dismissal). 
     

2. Du kannst auswählen, ob du die vorhandenen Einstellungen für „Private vulnerability reporting“ aktivieren, deaktivieren oder beibehalten möchtest. Um zu erfahren, wie du private Schwachstellen meldest, siehe Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository.

3. Optional kannst du im Abschnitt „Policy“ steuern, wie die Konfiguration angewendet werden soll: * Als Standard für neu erstellte Repositories verwenden. Wähle das Dropdownmenü None aus, und klicke anschließend auf Public, Private and internal oder All repositories.

   Hinweis

   Die Standardeinstellung security configuration für eine Organisation wird nur automatisch auf neue Repositorys angewendet, die in deiner Organisation erstellt werden. Wenn ein Repository in Ihre Organisation übertragen wird, müssen Sie immer noch eine entsprechende security configuration manuell auf das Repository anwenden.

   •      **Konfiguration erzwingen**. Hindere Repositorybesitzer daran, Features zu ändern, die in der Konfiguration aktiviert oder deaktiviert wurden (nicht festgelegte Features werden nicht erzwungen). Wähle im Dropdownmenü die Option **Enforce** aus.
     

4. Klicken Sie auf Konfiguration speichern, um die Erstellung Ihrer custom security configuration abzuschließen.

Nächste Schritte

Um deine custom security configuration auf Repositories in deiner Organisation anzuwenden, siehe Anwenden einer benutzerdefinierten Sicherheitskonfiguration.

Informationen zum Bearbeiten deiner custom security configuration findest du unter Bearbeiten einer angepassten Sicherheitskonfiguration.