Erzwingen von Richtlinien für die Codesicherheit und -analyse für Unternehmen

Du kannst Richtlinien erzwingen, um die Verwendung von Features für die Codesicherheit und Analyse innerhalb der Organisationen deines Unternehmens zu verwalten.

Wer kann dieses Feature verwenden?

Enterprise owners

GitHub Code Security und GitHub Secret Protection sind für Konten auf GitHub Team und GitHub Enterprise Cloud verfügbar.

Einige Features sind für öffentliche Repositorys auf GitHub.com ebenfalls kostenlos verfügbar. Weitere Informationen findest du unter GitHub-Pläne.

Informationen zu GitHub Advanced Security for Azure DevOps finden Sie unter Konfigurieren von GitHub Advanced Security for Azure DevOps in Microsoft Learn.

In diesem Artikel

Informationen zu Richtlinien für Sicherheitsfeatures in deinem Unternehmen

Du kannst Richtlinien erzwingen, um die Verwendung von Sicherheitsfeatures in Organisationen zu verwalten, die sich im Besitz deines Unternehmens befinden. Du kannst es Personen mit Administratorzugriff auf ein Repository gestatten oder verweigern, die Sicherheits- und Analysefeatures zu aktivieren oder zu deaktivieren.

Darüber hinaus können Sie Richtlinien für die Verwendung von GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (öffentliche Vorschau), or GitHub Advanced Security in den Organisationen und Repositorys Ihres Unternehmens erzwingen.

Erzwingen einer Richtlinie für die Verfügbarkeit von Advanced Security in den Organisationen eines Unternehmens

Die GitHub Secret Protection, GitHub Code Security, and GitHub Advanced Security-Produkte pro Committer in Rechnung gestellt. Weitere Informationen findest du unter GitHub Advanced Security-Lizenzabrechnung.

Du kannst eine Richtlinie erzwingen, die steuert, ob Repository-Administratoren die Features für Advanced Security in den Repositorys einer Organisation aktivieren dürfen. Du kannst eine Richtlinie für alle Organisationen konfigurieren, die zu deinem Unternehmenskonto gehören, oder für einzelne Organisationen, die du auswählst.

Das Deaktivieren von GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (öffentliche Vorschau), or GitHub Advanced Security für eine Organisation hindert Repositoryadministratoren daran, diese Features für zusätzliche Repositorys zu aktivieren, deaktiviert jedoch nicht die Features für Repositorys, in denen die Features bereits aktiviert sind.

Hinweis

Diese Richtlinie wirkt sich nur auf Repositoryadministratoren aus. Organisationsinhaberinnen und Sicherheitsmanagerinnen können Sicherheitsfeatures unabhängig von den Einstellungen dieser Richtlinie immer aktivieren. Weitere Informationen finden Sie unter Rollen in einer Organisation.

  1. Klicke auf GitHub in der oberen rechten Ecke auf dein Profilbild.

  2. Klicken Sie je nach Ihrer Umgebung auf "Enterprise", oder klicken Sie auf " Unternehmen ", und klicken Sie dann auf das Unternehmen, das Sie anzeigen möchten.

  3. Klicke oben auf der Seite auf Policies.

  4. Klicke unter „Policies“ auf Advanced Security.

  5. Wähle auf der Registerkarte „Policies“ der Seite „Advanced Security“ das Dropdownmenü aus, und klicke dann auf eine Richtlinie für die Organisationen, die deinem Unternehmen gehören.

  6. Wenn du rechts oben neben der Organisation die Option Allow for selected organizations ausgewählt hast, wähle optional das Dropdownmenü aus, um zu definieren, welche Advanced Security-Produkte für die Organisation verfügbar sind.

    Screenshot: Dropdownmenü zum Auswählen einer Advanced Security-Richtlinie für ausgewählte Organisationen im Unternehmen Das Dropdown ist hervorgehoben.

Hinweis

Wenn GitHub Actions für eine Organisation nicht verfügbar ist, werden code scanning und GitHub Code Quality nicht ausgeführt werden können, auch wenn sie mit dieser Richtlinie verfügbar gemacht werden. Weitere Informationen findest du unter Erzwingen von Richtlinien für GitHub Actions in deinem Unternehmen.

Erzwingen einer Richtlinie zur Sichtbarkeit von Abhängigkeitserkenntnissen

Abhängigkeitserkenntnisse zeigen alle Open-Source-Projekte an, von denen Repositorys innerhalb der Organisationen deines Unternehmens abhängig sind. Abhängigkeitserkenntnisse umfassen aggregierte Informationen zu Sicherheitsempfehlungen und Lizenzen. Weitere Informationen finden Sie unter Erkenntnisse zu den Abhängigkeiten in Ihrer Organisation anzeigen.

In allen Organisationen, die Ihrem Unternehmen gehören, können Sie steuern, ob Organisationsmitglieder Abhängigkeitserkenntnisse anzeigen können. Du kannst Besitzern auch die Verwaltung der Einstellung auf Organisationsebene ermöglichen. Weitere Informationen finden Sie unter Die Sichtbarkeit der Abhängigkeiten-Einblicke Deiner Organisation ändern.

  1. Klicke auf GitHub in der oberen rechten Ecke auf dein Profilbild.
  2. Klicken Sie je nach Ihrer Umgebung auf "Enterprise", oder klicken Sie auf " Unternehmen ", und klicken Sie dann auf das Unternehmen, das Sie anzeigen möchten.
  3. Klicke oben auf der Seite auf Policies.
  4. Klicke unter „Policies“ auf Advanced Security.
  5. Überprüfe im Abschnitt „Policies“ unter „Dependency insights“ die Informationen zum Ändern der Einstellung.
  7. Wähle unter „Abhängigkeitserkenntnisse“ das Dropdownmenü aus, und klicke auf eine Richtlinie.

Erzwingen einer Richtlinie zum Verwalten der Verwendung von Dependabot alerts Unternehmen

Du kannst für alle Organisationen im Besitz deines Unternehmens festlegen, ob Mitglieder mit Administratorberechtigungen für Repositorys die Dependabot alerts aktivieren oder deaktivieren und die Einstellungen für Dependabot alerts ändern können.

Hinweis

Diese Richtlinie wirkt sich nur auf Repositoryadministratoren aus. Organisationsinhaberinnen und Sicherheitsmanagerinnen können Sicherheitsfeatures unabhängig von den Einstellungen dieser Richtlinie immer aktivieren. Weitere Informationen finden Sie unter Rollen in einer Organisation.

  1. Klicke auf GitHub in der oberen rechten Ecke auf dein Profilbild.
  2. Klicken Sie je nach Ihrer Umgebung auf "Enterprise", oder klicken Sie auf " Unternehmen ", und klicken Sie dann auf das Unternehmen, das Sie anzeigen möchten.
  3. Klicke oben auf der Seite auf Policies.
  4. Klicke unter „Policies“ auf Advanced Security.
  5. Verwende im Abschnitt „Policies“ unter „Enable or disable Dependabot alerts by repository admins“ das Dropdownmenü, um eine Richtlinie auszuwählen.

Erzwingen einer Richtlinie für die Verwaltung der Advanced Security-Features in den Repositorys eines Unternehmens

Du kannst für alle Organisationen im Besitz deines Unternehmens festlegen, ob Mitglieder mit Administratorberechtigungen für Repositorys verwalten können, wie die Advanced Security-Features in Repositorys verwendet werden.

  1. Klicke auf GitHub in der oberen rechten Ecke auf dein Profilbild.

  2. Klicken Sie je nach Ihrer Umgebung auf "Enterprise", oder klicken Sie auf " Unternehmen ", und klicken Sie dann auf das Unternehmen, das Sie anzeigen möchten.

  3. Klicke oben auf der Seite auf Policies.

  4. Klicke unter „Policies“ auf Advanced Security.

  5. Verwenden Sie im Abschnitt 'Richtlinien' unter 'Repository-Administratoren können PRODUCT aktivieren oder deaktivieren' das Dropdown-Menü, um zu definieren, ob Repository-Administratoren die Aktivierung von GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (öffentliche Vorschau), or GitHub Advanced Security ändern können.

Erzwingen einer Richtlinie für die Verwaltung der Nutzung von KI-Erkennung für secret scanning in den Repositorys eines Unternehmens

Sie können für alle Organisationen im Besitz des Unternehmens festlegen, ob Mitglieder mit Administratorberechtigungen für Repositorys die KI-Erkennung in secret scanning für die Repositorys verwalten und konfigurieren können. Diese Richtlinie wird nur wirksam, wenn Repositoryadministratoren auch die Aktivierung von Secret Protection ändern dürfen (gesteuert durch die Richtlinie „Repositoryadministratoren können geheimen Schutz aktivieren oder deaktivieren“).

  1. Klicke auf GitHub in der oberen rechten Ecke auf dein Profilbild.
  2. Klicken Sie je nach Ihrer Umgebung auf "Enterprise", oder klicken Sie auf " Unternehmen ", und klicken Sie dann auf das Unternehmen, das Sie anzeigen möchten.
  3. Klicke oben auf der Seite auf Policies.
  4. Klicke unter „Policies“ auf Advanced Security.
  5. Wähle im Abschnitt „Policies“ unter „AI detection in secret scanning“ das Dropdownmenü aus, und klicke auf eine Richtlinie.

Erzwingen einer Richtlinie für die Verwaltung von Copilot Autofix in den Repositorys deines Unternehmens

In allen Organisationen Ihres Unternehmens können Sie Personen mit Administratorzugriff auf Repositorys zulassen oder verbieten, zu verwalten, wo Copilot Autofix für Code Security Ergebnisse aktiviert sind. GitHub Code Security muss für die Organisation aktiviert sein, damit diese Richtlinie wirksam wird.

  1. Klicke auf GitHub in der oberen rechten Ecke auf dein Profilbild.
  2. Klicken Sie je nach Ihrer Umgebung auf "Enterprise", oder klicken Sie auf " Unternehmen ", und klicken Sie dann auf das Unternehmen, das Sie anzeigen möchten.
  3. Klicke oben auf der Seite auf Policies.
  4. Klicke unter „Policies“ auf Advanced Security.
  5. Wähle im Abschnitt „Policies“ unter „Copilot Autofix“ das Dropdownmenü aus, und klicke auf eine Richtlinie.

Hinweis

Diese Richtlinie steuert die Verwendung von Copilot Autofix nur für Ergebnisse, die durch Sicherheitsscans von code scanning gefunden wurden. Copilot Autofix ist ein integraler Bestandteil von GitHub Code Quality und kann für dieses Feature nicht deaktiviert werden.