Schnellstart für die Sicherung Ihres Repositorys

Verwalte den Zugriff auf deinen Code. Suche und Behebe anfälligen Code und anfällige Abhängigkeiten automatisch.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

In diesem Artikel

Einführung

In diesem Leitfaden erfährst du, wie du Sicherheitsfunktionen für ein Repository konfigurierst.

Deine Sicherheitsbedürfnisse sind für dein Repository individuell, daher musst du vielleicht nicht jedes Feature für dein Repository aktivieren. Weitere Informationen finden Sie unter GitHub-Sicherheitsfeatures.

Einige Features sind für Repositorys in allen Plänen verfügbar. Zusätzliche Features sind Organisationen und Unternehmen verfügbar, die GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security verwenden. GitHub Advanced Security-Features werden ebenfalls für alle öffentlichen Repositorys auf GitHub aktiviert. Weitere Informationen finden Sie unter Informationen zu GitHub Advanced Security.

Verwalten des Zugriffs auf dein Repository

Der erste Schritt zur Sicherung eines Repositorys besteht darin einzurichten, wer deinen Code sehen und ändern darf. Weitere Informationen finden Sie unter Verwalten der Repository-Einstellungen und -Funktionen.

Klicke auf der Hauptseite deines Repositorys auf Settings, und scrolle dann nach unten zur „Gefahrenzone“.

Verwalten des Abhängigkeitsdiagramms

Das Abhängigkeitsdiagramm wird automatisch für alle öffentlichen Repositorys generiert. Du kannst es für Forks und für private Repositorys aktivieren. Das Abhängigkeitsdiagramm interpretiert Manifest- und Sperrdateien in einem Repository, um Abhängigkeiten zu identifizieren.

  1. Klicke auf der Hauptseite deines Repositorys auf Einstellungen.
  2. Klicke auf Advanced Security.
  3. Klicke neben dem Abhängigkeitsdiagramm auf Aktivieren oder Deaktivieren.

Weitere Informationen finden Sie unter Untersuchen der Abhängigkeiten eines Repositorys.

Verwalten von Dependabot alerts

Dependabot alerts werden generiert, wenn GitHub eine Abhängigkeit im Abhängigkeitsdiagramm mit einem Sicherheitsrisiko identifiziert. Du kannst Dependabot alerts für jedes Repository aktivieren.

Darüber hinaus können Sie Dependabot auto-triage rules verwenden, um Ihre Warnungen in großem Umfang zu verwalten, so dass Sie Warnungen automatisch ignorieren oder den Standbymodus aktivieren können und angeben können, für welche Warnungen Dependabot Pull Requests öffnen soll. Weitere Informationen zu den verschiedenen Typen von Regeln für die automatische Triage und zu den Berechtigungen deiner Repositorys findest du unter Über Auto-Triage-Regeln von Dependabot.

Eine Übersicht über die verschiedenen Features von Dependabot und Anweisungen zu den ersten Schritten findest du unter Schnellstartanleitung für Dependabot.

  1. Klicke auf dein Profilfoto und dann auf Einstellung.
  2. Klicke auf Advanced Security.
  3. Klicke neben Dependabot alerts auf Enable.

Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen und unter Verwalten von Sicherheits- und Analyseeinstellungen für dein persönliches Konto.

Verwalten der Abhängigkeitsüberprüfung

Mit der Abhängigkeitsüberprüfung kannst du Abhängigkeitsänderungen in Pull-Anforderungen visualisieren, bevor sie in deine Repositorys zusammengeführt werden. Weitere Informationen finden Sie unter Informationen zur Abhängigkeitsüberprüfung.

Die Abhängigkeitsüberprüfung ist ein Feature von GitHub Code Security. Die Abhängigkeitsüberprüfung ist bereits für alle öffentlichen Repositorys aktiviert. Organisationen, die GitHub Team oder GitHub Enterprise Cloud mit GitHub Code Security verwenden, können die Abhängigkeitsüberprüfung für private und interne Repositorys zusätzlich aktivieren.

Um die Abhängigkeitsüberprüfung für ein Repository zu aktivieren, stelle sicher, dass das Abhängigkeitsdiagramm aktiviert ist, und aktiviere GitHub Code Security.

  1. Klicke auf der Hauptseite deines Repositorys auf Einstellungen.
  2. Klicke auf Advanced Security.
  3. Klicke rechts neben Code Security auf Enable.
  4. Stelle unter Code Security sicher, dass das Abhängigkeitsdiagramm für das Repository aktiviert ist.
    • Bei öffentlichen Repositorys ist das Abhängigkeitsdiagramm immer aktiviert.

Verwalten von Dependabot security updates

Für jedes Repository, für das Dependabot alerts verwendet werden, kannst du Dependabot security updates aktivieren, um Pull Requests mit Sicherheitsupdates auszulösen, wenn Sicherheitsrisiken erkannt werden.

  1. Klicke auf der Hauptseite deines Repositorys auf Einstellungen.
  2. Klicke auf Advanced Security.
  3. Klicke neben Dependabot security updates auf Aktivieren.

Weitere Informationen findest du unter Informationen zu Dependabot-Sicherheitsupdates und Konfigurieren von Dependabot-Sicherheitsupdates.

Verwalten von Dependabot version updates

Du kannst Dependabot zur automatisch Generierung von Pull Requests aktivieren, um deine Abhängigkeiten auf dem neuesten Stand zu halten. Weitere Informationen finden Sie unter Informationen zu Updates von Dependabot-Versionen.

  1. Klicke auf der Hauptseite deines Repositorys auf Einstellungen.
  2. Klicke auf Advanced Security.
  3. Klicke neben Dependabot version updates auf Aktivieren, um eine einfache dependabot.yml-Konfigurationsdatei zu erstellen.
  4. Geben Sie die zu aktualisierenden Abhängigkeiten und alle zugehörigen Konfigurationsoptionen an und committen Sie die Datei dann an das Repository. Weitere Informationen finden Sie unter Konfigurieren von Versionsupdates von Dependabot.

Konfigurieren von Code Security

Note

Code Security-Features sind für alle öffentlichen Repositorys und für privat Repositorys im Besitz von Organisationen verfügbar, die Teil eines Teams oder eines Unternehmens sind, das GitHub Code Security verwendet.

GitHub Code Security schließt code scanning, CodeQL CLI und Copilot Autofix sowie weitere Features ein, die Sicherheitsrisiken suchen in deiner Codebasis suchen und beheben.

Du kannst code scanning konfigurieren, um mit einem CodeQL-Analyseworkflow oder einem Tool eines Drittanbieters automatisch Sicherheitsrisiken und Fehler in dem in deinem Repository gespeicherten Code zu identifizieren. Abhängig von den Programmiersprachen in deinem Repository kannst du code scanning mit CodeQL mithilfe des Standardsetups konfigurieren, in dem GitHub die zu scannenden Sprachen, die auszuführenden Abfragesammlungen und die Ereignisse automatisch ermittelt, die eine neue Überprüfung auslösen. Weitere Informationen finden Sie unter Konfigurieren des Standardsetups für das Codescanning.

  1. Klicke auf der Hauptseite deines Repositorys auf Einstellungen.
  2. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.
  3. Wenn die Option „Code Security“ nicht bereits aktiviert ist, klicke auf Enable.
  4. Wähle unter „Code Security“ rechts neben „CodeQL analysis“ die Option Set up aus, und klicke dann auf Default.
  5. Überprüfe im angezeigten Popupfenster die Standardkonfigurationseinstellungen für dein Repository, und klicke dann auf Enable CodeQL.
  6. Entscheide, ob du zusätzliche Features wie Copilot Autofix aktivieren möchtest.

Als Alternative zum Standardsetup kannst du das erweiterte Setup verwenden, wodurch eine Workflowdatei generiert wird, die du bearbeiten kannst, um code scanning mit CodeQL anzupassen. Weitere Informationen finden Sie unter Konfigurieren des erweiterten Setups für das Codescanning.

Konfigurieren von Secret Protection

Note

Secret Protection-Features sind für alle öffentlichen Repositorys und für Repositorys im Besitz von Benutzenden oder Organisationen verfügbar, die Teil eines Teams oder eines Unternehmens sind, das GitHub Secret Protection verwendet.

GitHub Secret Protection schließt secret scanning und Pushschutz sowie weitere Features ein, die dich beim Erkennen und Verhindern von Geheimnislecks in deinem Repository unterstützen.

  1. Klicke auf der Hauptseite deines Repositorys auf Einstellungen.
  2. Klicke auf Advanced Security.
  3. Wenn Secret Protection noch nicht aktiviert ist, klicke auf Enable.
  4. Entscheide, ob du zusätzliche Features wie Gültigkeitsprüfungen, Scannen nach Nicht-Anbieter-Mustern und Pushschutz aktivieren möchtest.

Festlegen einer Sicherheitsrichtlinie

Wenn du Repository-Maintainer bist, empfiehlt es sich, eine Sicherheitsrichtlinie für dein Repository anzugeben, indem du eine Datei mit dem Namen SECURITY.md im Repository erstellst. Diese Datei weist Benutzer darauf hin, wie sie sich am besten mit dir in Verbindung setzen und mit dir zusammenarbeiten können, wenn sie Sicherheitsrisiken in deinem Repository melden möchten. Du kannst die Sicherheitsrichtlinie eines Repositorys auf der Registerkarte Sicherheit des Repositorys anzeigen.

  1. Klicke auf der Hauptseite deines Repositorys auf Security.
  2. Klicke auf Sicherheitsrichtlinie.
  3. Klicke auf Start setup (Setup starten).
  4. Füge Informationen über unterstützte Versionen deines Projekts hinzu und wie du Sicherheitsrisiken melden kannst.

Weitere Informationen finden Sie unter Hinzufügen einer Sicherheitsrichtlinie für dein Repository.

Nächste Schritte

Du kannst Warnungen von Sicherheitsfeatures anzeigen und verwalten, um Abhängigkeiten und Sicherheitsrisiken in deinem Code zu bearbeiten. Weitere Informationen findest du unter Anzeigen und Aktualisieren von Dependabot-Warnungen, Verwalten von Pull Requests für Abhängigkeitsupdates, Bewerten von Warnungen der Codeüberprüfung für das Repository und Verwalten von Warnungen aus der Geheimnisüberprüfung.

Du kannst die Tools von GitHub zudem verwenden, um Antworten auf Sicherheitswarnungen zu überwachen. Weitere Informationen finden Sie unter Prüfen von Sicherheitswarnungen.

Wenn ein Sicherheitsrisiko in einem öffentlichen Repository besteht, kannst du eine Sicherheitsempfehlung erstellen, um das Sicherheitsrisiko privat zu besprechen und zu beheben. Weitere Informationen findest du unter Informationen zu Sicherheitsempfehlungen für Repositorys und Erstellen einer Sicherheitsempfehlung für ein Repository.

Wenn Sie GitHub Actions verwenden, können Sie die Sicherheitsfeatures von GitHub verwenden, um die Sicherheit Ihrer Workflows zu erhöhen. Weitere Informationen finden Sie unter Verwenden der Sicherheitsfeatures von GitHub zum Sichern Ihrer Verwendung von GitHub-Aktionen.