Implementierung von Richtlinien zur Codesicherheit und -analyse für Ihr Unternehmen

Du kannst Richtlinien erzwingen, um die Verwendung von Features für die Codesicherheit und Analyse innerhalb der Organisationen deines Unternehmens zu verwalten.

Wer kann dieses Feature verwenden?

Enterprise owners

GitHub Code Security und GitHub Secret Protection sind für Konten auf GitHub Team und GitHub Enterprise Cloud.

Einige Features sind auch kostenlos für öffentliche Repositorys verfügbar auf GitHub.com. Weitere Informationen findest du unter Pläne von GitHub.

Informationen zu GitHub Advanced Security for Azure DevOps finden Sie unter Konfigurieren von GitHub Advanced Security for Azure DevOps in Microsoft Learn.

In diesem Artikel

Hinweise zu Richtlinien für die Nutzung von Sicherheitsfunktionen in Ihrem Unternehmen

Du kannst Richtlinien erzwingen, um die Verwendung von Sicherheitsfeatures in Organisationen zu verwalten, die sich im Besitz deines Unternehmens befinden. Du kannst es Personen mit Administratorzugriff auf ein Repository gestatten oder verweigern, die Sicherheits- und Analysefeatures zu aktivieren oder zu deaktivieren.

Darüber hinaus können Sie Richtlinien für die Verwendung GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (Öffentliche Vorschau), or GitHub Advanced Security in den Organisationen und Repositorys Ihres Unternehmens erzwingen.

Durchsetzen einer Richtlinie für die Verfügbarkeit von Advanced Security in den Organisationen Ihres Unternehmens

Die Abrechnung für GitHub Secret Protection, GitHub Code Security, and GitHub Advanced Security Produkte erfolgt pro Mitwirkendem. Weitere Informationen findest du unter GitHub Advanced Security Lizenzabrechnung.

Sie können eine Richtlinie erzwingen, die steuert, ob Repository-Administratoren Funktionen für Advanced Security in den Repositories einer Organisation aktivieren dürfen. Du kannst eine Richtlinie für alle Organisationen konfigurieren, die zu deinem Unternehmenskonto gehören, oder für einzelne Organisationen, die du auswählst.

Das Nichtzulassen von GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (Öffentliche Vorschau), or GitHub Advanced Security für eine Organisation verhindert, dass Repository-Administratoren diese Funktionen für zusätzliche Repositorys aktivieren, deaktiviert die Funktionen jedoch nicht für Repositorys, in denen sie bereits aktiviert sind.

Hinweis

Diese Richtlinie wirkt sich nur auf Repositoryadministratoren aus. Organisationsinhaberinnen und Sicherheitsmanagerinnen können Sicherheitsfeatures unabhängig von den Einstellungen dieser Richtlinie immer aktivieren. Weitere Informationen finden Sie unter Rollen in einer Organisation.

  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.

  2. Klicken Sie oben auf der Seite auf "Richtlinien".

  3. Klicke unter „Policies“ auf Advanced Security Code security.

  4. Wählen Sie auf der Registerkarte "Richtlinien" der Seite "Advanced Security" das Dropdownmenü aus, und klicken Sie dann auf eine Richtlinie für die Organisationen, die ihrem Unternehmen gehören.

  5. Wenn Sie optional "Für ausgewählte Organisationen zulassen" ausgewählt haben, wählen Sie rechts neben einer Organisation das Dropdownmenü aus, um zu definieren, welche Advanced Security Produkte für die Organisation verfügbar sind.

    Screenshot: Dropdownmenü zum Auswählen einer Advanced Security-Richtlinie für ausgewählte Organisationen im Unternehmen Das Dropdown ist hervorgehoben.

Hinweis

Wenn GitHub Actions für eine Organisation nicht verfügbar ist, können code scanning und GitHub Code Quality nicht ausgeführt werden, selbst wenn sie mit dieser Richtlinie verfügbar gemacht werden. Weitere Informationen findest du unter Erzwingen von Richtlinien für GitHub Actions in Ihrem Unternehmen.

Erzwingen einer Richtlinie zur Sichtbarkeit von Abhängigkeitsinformationen

Abhängigkeitserkenntnisse zeigen alle Open Source Projekte an, von denen Repositorys in den Organisationen Ihres Unternehmens abhängen. Abhängigkeitserkenntnisse umfassen aggregierte Informationen zu Sicherheitsempfehlungen und Lizenzen. Weitere Informationen finden Sie unter Erkenntnisse zu den Abhängigkeiten in Ihrer Organisation anzeigen.

In allen Organisationen, die Ihrem Unternehmen gehören, können Sie steuern, ob Organisationsmitglieder Abhängigkeitserkenntnisse anzeigen können. Du kannst Besitzern auch die Verwaltung der Einstellung auf Organisationsebene ermöglichen. Weitere Informationen finden Sie unter Die Sichtbarkeit der Abhängigkeitsübersicht Ihrer Organisation ändern.

  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.

  2. Klicken Sie oben auf der Seite auf "Richtlinien".

  3. Klicke unter „Policies“ auf Advanced Security Code security.

  4. Überprüfe im Abschnitt „Policies“ unter „Dependency insights“ die Informationen zum Ändern der Einstellung.

  5. Optional kannst du die aktuelle Konfiguration für alle Organisationen im Unternehmenskonto anzeigen, bevor du die Einstellung änderst. Wähle dazu View your organizations' current configurations aus.

    Screenshot einer Richtlinie in den Unternehmenseinstellungen. Ein Link „View your organizations' current configurations“ ist hervorgehoben.

  6. Wähle unter „Abhängigkeitserkenntnisse“ das Dropdownmenü aus, und klicke auf eine Richtlinie.

Durchsetzen einer Richtlinie zur Verwaltung der Verwendung von Dependabot alerts in Ihrem Unternehmen

In allen Organisationen, die zu Ihrem Unternehmen gehören, können Sie Mitgliedern mit Administratorberechtigungen für Repositories erlauben, Dependabot alerts zu aktivieren oder zu deaktivieren und die Einstellungen für Dependabot alerts zu ändern.

Hinweis

Diese Richtlinie wirkt sich nur auf Repositoryadministratoren aus. Organisationsinhaberinnen und Sicherheitsmanagerinnen können Sicherheitsfeatures unabhängig von den Einstellungen dieser Richtlinie immer aktivieren. Weitere Informationen finden Sie unter Rollen in einer Organisation.

  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
  2. Klicken Sie oben auf der Seite auf "Richtlinien".
  3. Klicke unter „Policies“ auf Advanced Security Code security.
  4. Verwenden Sie im Abschnitt "Richtlinien" unter "Aktivieren oder Deaktivieren Dependabot alerts durch Repositoryadministratoren" das Dropdownmenü, um eine Richtlinie auszuwählen.

Erzwingen einer Richtlinie zum Verwalten der Verwendung von Advanced Security Features in den Repositorys Ihres Unternehmens

In allen Organisationen Ihres Unternehmens können Sie Personen mit Administratorzugriff auf Repositorys zulassen oder verbieten, um die Verwendung von Advanced Security Features in den Repositorys zu verwalten.

  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
  2. Klicken Sie oben auf der Seite auf "Richtlinien".
  3. Klicke unter „Policies“ auf Advanced Security Code security.
  4. Verwenden Sie im Abschnitt „Richtlinien“ unter „Repositoryadministratoren können PRODUCT aktivieren oder deaktivieren“ das Dropdownmenü, um festzulegen, ob Repositoryadministratoren die Aktivierung von GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (Öffentliche Vorschau), or GitHub Advanced Security ändern können.

Durchsetzen einer Richtlinie zur Verwaltung der Verwendung der KI-Erkennung für secret scanning in den Repositorien Ihres Unternehmens

In allen Organisationen Ihres Unternehmens können Sie Personen mit Administratorzugriff auf Repositories erlauben oder verbieten, die KI-Erkennung in secret scanning für die Repositories zu verwalten und zu konfigurieren. Diese Richtlinie tritt nur in Kraft, wenn Repositoryadministratoren auch die Aktivierung von Secret Protection ändern dürfen (gesteuert durch die Richtlinie „Repositoryadministratoren können Secret Protection aktivieren oder deaktivieren“).

  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
  2. Klicken Sie oben auf der Seite auf "Richtlinien".
  3. Klicke unter „Policies“ auf Advanced Security Code security.
  4. Wählen Sie im Abschnitt „Richtlinien“ unter „KI-Erkennung in secret scanning“ das Dropdown-Menü aus und klicken Sie auf eine Richtlinie.

Erzwingen einer Richtlinie zum Verwalten der Verwendung von Copilot Autofix in den Repositorys Ihres Unternehmens

In allen Organisationen Ihres Unternehmens können Sie Personen mit Administratorzugriff auf Repositories erlauben oder verbieten, zu verwalten, wo Copilot Autofix für Code Security-Ergebnisse aktiviert ist. GitHub Code Security muss für die Organisation aktiviert sein, damit diese Richtlinie wirksam wird.

  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
  2. Klicken Sie oben auf der Seite auf "Richtlinien".
  3. Klicke unter „Policies“ auf Advanced Security Code security.
  4. Wählen Sie im Abschnitt "Richtlinien" unter "Copilot Autofix" das Dropdownmenü aus, und klicken Sie auf eine Richtlinie.

Hinweis

Diese Richtlinie regelt die Verwendung von Copilot Autofix nur bei Ergebnissen, die ausschließlich durch code scanning-Sicherheitsabfragen gefunden wurden. Copilot Autofix ist ein integraler Bestandteil und GitHub Code Quality kann für dieses Feature nicht deaktiviert werden.