Konfigurieren globaler Sicherheitseinstellungen für Ihre Organisation

Passen Sie die Funktionen von Advanced Security für Ihre Organisation an, indem Sie globale Einstellungen definieren, die konsistente Sicherheitsstandards sicherstellen und alle Ihre Repositorys schützen.

Wer kann dieses Feature verwenden?

Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Organisationsmitglieder mit der Administratorrolle

In diesem Artikel

Zugreifen auf die Seite global settings für Ihre Organisation

  1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.

  2. Klicke unter dem Organisationsnamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot der Registerkarten im Profil einer Organisation. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Wähle im Abschnitt „Security“ der Randleiste das Dropdownmenü Advanced Security aus, und klicke auf Global settings.

Konfigurieren der globalen Dependabot-Einstellungen

Sie können mehrere global settings für Dependabot anpassen:

  •         [Erstellen und Verwalten von Dependabot auto-triage rules](#creating-and-managing-dependabot-auto-triage-rules)

  •         [Gruppieren von Dependabot Sicherheitsupdates](#grouping-dependabot-security-updates)

  •         [Aktivieren von Abhängigkeitsaktualisierungen für GitHub Actions-Runner](#enabling-dependency-updates-on-github-actions-runners)

  •         [Konfigurieren des Runner-Typs für Dependabot}](#configuring-the-runner-type-for-dependabot)

  •         [Dependabot Zugriff auf private und interne Repositorys gewähren](#granting-dependabot-access-to-private-and-internal-repositories)

Erstellen und Verwalten von Dependabot auto-triage rules

Sie können Dependabot auto-triage rules erstellen und verwalten, um Dependabot anzuweisen, Dependabot alerts automatisch zu verwerfen oder in den Standbymodus zu versetzen, und sogar Pull Requests öffnen, um zu versuchen, sie zu lösen. Um Dependabot auto-triage rules zu konfigurieren, klicke auf , und erstelle oder bearbeite eine Regel:

  • Sie können eine neue Regel erstellen, indem Sie auf Neue Regel klicken, dann die Details für Ihre Regel eingeben und auf Regel erstellen klicken.
  • Sie können eine bestehende Regel bearbeiten, indem Sie auf klicken, dann die gewünschten Änderungen vornehmen und auf Regel speichern klicken.

Weitere Informationen zu Dependabot auto-triage rules finden Sie unter Über Auto-Triage-Regeln von Dependabot und Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen.

Gruppieren von Dependabot security updates

Dependabot kann alle automatisch vorgeschlagenen Sicherheitsupdates in einer einzigen Pull Request zusammenfassen. Um gruppierte Sicherheitsupdates zu aktivieren, wählen Sie Gruppierte Sicherheitsupdates. Weitere Informationen über gruppierte Updates und Anpassungsoptionen finden Sie unter Konfigurieren von Dependabot-Sicherheitsupdates.

Aktivieren von Abhängigkeitsupdates über GitHub Actions-Runner

Wenn sowohl Dependabot als auch GitHub Actions für vorhandene Repositorys in Ihrer Organisation aktiviert sind, verwendet GitHub automatisch GitHub-gehostete Runner, um Abhängigkeitsupdates für diese Repositorys auszuführen.

Andernfalls, um Dependabot die Verwendung von GitHub Actions-Runnern zur Durchführung von Abhängigkeitsaktualisierungen für alle vorhandenen Repositories in der Organisation zu ermöglichen, wählen Sie "Dependabot on Actions runners" aus.

Weitere Informationen finden Sie unter Informationen zu Dependabot über GitHub Actions-Runner.

Konfigurieren des Runner-Typs für Dependabot

Sie können konfigurieren, welche Art von Läufer Dependabot verwendet, um nach Versions- und Sicherheitsupdates zu suchen. Standardmäßig verwendet Dependabot Standard GitHub-gehostete Runner. Sie können Dependabot so konfigurieren, dass selbst gehostete Runner mit benutzerdefinierten Bezeichnungen verwendet werden, dadurch können Sie sich mit bestehender Runner-Infrastruktur wie Actions Runner Controller (ARC) integrieren.

Hinweis

  • Aus Sicherheitsgründen werden Dependabot GitHub-gehostete Runner für öffentliche Repositories genutzt, auch wenn Sie markierte Runner konfigurieren.
  • Bezeichnete Runners arbeiten nicht mit öffentlichen Repositorys.

So konfigurieren Sie den Läufertyp:

  1. Wählen Sie unter "Dependabot" neben "Runnertyp" .
  2. Wählen Sie im Dialogfeld "Runnertyp für Dependabot" den Läufertyp aus, den Dependabot verwenden soll: * Standard GitHub Runner. * Gekennzeichneter Runner: Wenn Sie diese Option auswählen, verwendet Dependabot selbst gehostete Runner, die mit der von Ihnen angegebenen Bezeichnung übereinstimmen.
  3. Wenn Sie Etikettierter Läufer ausgewählt haben:
    • Geben Sie in "Runner Label" die Bezeichnung ein, die Ihren selbst gehosteten Läufern zugewiesen ist. Dependabot verwendet Runner mit dieser Bezeichnung. Standardmäßig wird die dependabot Bezeichnung verwendet, Sie können jedoch eine benutzerdefinierte Bezeichnung angeben, die Ihrer vorhandenen Läuferinfrastruktur entspricht.
    • Geben Sie optional unter "Runner-Gruppenname" den Namen einer Läufergruppe ein, wenn Sie eine bestimmte Gruppe von Läufern ansprechen möchten.
  4. Klicken Sie auf " Läuferauswahl speichern".

Weitere Informationen zum Konfigurieren von selbst gehosteten Runern für Dependabot finden Sie unter Konfigurieren von Dependabot für selbst gehostete Läufer.

Dependabot Zugriff auf private und interne

Repositories gewähren

Um private Abhängigkeiten von Repositories in Ihrer Organisation zu aktualisieren, benötigt Dependabot Zugriff auf diese Repositories. Um Dependabot Zugriff auf das gewünschte private oder interne Repository zu gewähren, scrollen Sie nach unten zum Abschnitt „Dependabot Zugriff auf private Repositories gewähren“ und verwenden Sie dann die Suchleiste, um das gewünschte Repository zu finden und auszuwählen. Beachten Sie, wenn Sie Dependabot Zugriff auf ein Repository gewähren, alle Benutzer in Ihrer Organisation über Dependabot updates Zugriff auf den Inhalt dieses Repositorys haben. Weitere Informationen über die unterstützten Ökosysteme für private Repositories finden Sie unter Von Dependabot unterstützte Ökosysteme und Repositorys.

Konfigurieren von globalen code scanning Einstellungen

Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codefehler zu finden. Alle von der Analyse ermittelten Probleme werden im Repository angezeigt.

Sie können mehrere global settings für code scanning anpassen:

  • Aktivieren von Copilot Autofix für CodeQL
  •         [Empfehlen der erweiterten Abfragesuite für die Standardeinrichtung](#recommending-the-extended-query-suite-for-default-setup)

  •         [Erweiterung der CodeQL Analysen](#expanding-codeql-analysis)

Empfehlung der erweiterten Abfragesuite für die Standardeinstellung

Code scanning bietet spezifische Gruppen von CodeQL Abfragen, genannt CodeQL Abfragesuiten, die Sie gegen Ihren Code ausführen können. Standardmäßig wird die Abfragesuite „Standard“ ausgeführt. GitHub bietet auch die Abfragesuite „Erweitert“, die alle Abfragen der Abfragesuite „Standard“ sowie zusätzliche Abfragen mit geringerer Genauigkeit und niedrigerem Schweregrad enthält. Um die „Erweiterte“ Abfragesuite in Ihrer Organisation vorzuschlagen, wählen Sie Empfehlen der erweiterten Abfragesuite für Repositories zur Aktivierung der Standardeinstellungen. Weitere Informationen über integrierte Abfragesuiten für CodeQL Standardeinstellungen finden Sie unter CodeQL-Abfragesammlungen.

Aktivierung von Copilot Autofix für CodeQL

Sie können Copilot Autofix auswählen, um Copilot Autofix für alle Repositorys in Ihrer Organisation zu aktivieren, die das CodeQL-Standardsetup oder das erweiterte CodeQL-Setup verwenden. Copilot Autofix ist eine Erweiterung von code scanning, die Korrekturen für code scanning-Warnungen vorschlägt. Weitere Informationen finden Sie unter Verantwortungsbewusste Nutzung von Copilot Autofix für das Scannen von Code.

Erweitern der CodeQL-Analyse

Sie können die Abdeckung der CodeQL-Analyse für alle Repositories in Ihrer Organisation erweitern, die die Standardkonfiguration verwenden, indem Sie CodeQL-Modellpakete konfigurieren. Modellpakete erweitern die CodeQL-Analyse, um zusätzliche Frameworks und Bibliotheken zu erkennen, die nicht in den standardmäßigen CodeQL-Bibliotheken enthalten sind. Diese globale Konfiguration gilt für Repositorys mit Standardsetup und ermöglicht Ihnen die Angabe von Modellpaketen, die über die Containerregistrierung veröffentlicht wurden. Weitere Informationen finden Sie unter Bearbeiten der Konfiguration des Standardsetups.

Konfigurieren von globalen secret scanning Einstellungen

Secret scanning ist ein Sicherheitstool, das den gesamten Git-Verlauf von Repositorys sowie Probleme, Pullanforderungen, Diskussionen und Wikis in diesen Repositorys auf geleakte Geheimnisse, die versehentlich übergeben wurden, z. B. Tokens oder private Schlüssel.

Sie können mehrere global settings für secret scanning anpassen:

  •         [Hinzufügen eines Ressourcenlinks für blockierte Übertragungen](#adding-a-resource-link-for-blocked-commits)

  •         [Definieren von benutzerdefinierten Mustern](#defining-custom-patterns)

  •         [Angeben von Mustern, die in den Pushschutz integriert werden sollen](#specifying-patterns-to-include-in-push-protection)

Wenn secret scanning eine Übertragung blockiert, können Sie einen Link mit weiteren Informationen anzeigen, warum die Übertragung blockiert wurde, um den Entwicklern einen Kontext zu bieten. Um einen Link einzubinden, wählen Sie Hinzufügen eines Ressourcenlinks in der CLI und der Web-UI, wenn eine Übertragung blockiert ist. Gib im Textfeld den Link zur gewünschten Ressource ein, und klicke dann auf Speichern.

Definieren benutzerdefinierter Muster

Sie können eigene Muster für secret scanning mit regulären Ausdrücken definieren. Benutzerdefinierte Muster können Geheimnisse erkennen, die von den Standardmustern, die von secret scanning unterstützt werden, nicht erkannt werden. Um ein benutzerdefiniertes Muster zu erstellen, klicken Sie auf Neues Muster, geben Sie dann die Details für Ihr Muster ein und klicken Sie auf Speichern und Trockenlauf. Weitere Informationen zu benutzerdefinierten Mustern findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.

Angeben von Mustern, die in den Pushschutz integriert werden sollen

Hinweis

Die Konfiguration von Mustern für den Pushschutz auf Unternehmens- und Organisationsebene befindet sich derzeit in der öffentliche Vorschau. Änderungen sind vorbehalten.

Du kannst anpassen, welche geheimen Muster im Pushschutz integriert sind, sodass Sicherheitsteams besser kontrollieren können, welche Arten von Geheimnissen in den Repositorys in deiner Organisation blockiert werden.

  1. Klicke unter „Additional settings“ im Abschnitt „Secret scanning“ und rechts neben „Pattern configurations“ auf .
  2. Nimm auf der Seite, die angezeigt wird, die gewünschten Änderungen in der Spalte „Organization setting“ vor.

Du kannst den Pushschutz für einzelne Muster aktivieren oder deaktivieren, indem du die Umschaltfläche in der relevanten Spalte verwendest: „Enterprise setting“ auf Unternehmensebene und „Organization setting“ auf Organisationsebene.

Die Daten sind auf den Umfang beschränkt, weshalb das Warnungsvolumen, falsch positive Ergebnisse, die Umgehungsrate oder die Verfügbarkeit von benutzerdefinierten Mustern die Benutzer-/Warnungsaktivität innerhalb des Unternehmens oder der Organisation widerspiegeln.

Die Standardeinstellung von GitHub kann sich im Laufe der Zeit ändern, wenn wir die Genauigkeit erhöhen und Muster weiterentwickeln.

Hinweis

Organisationsadministratoren und Sicherheitsteams können Einstellungen außer Kraft setzen, die auf Unternehmensebene konfiguriert sind.

Weitere Informationen zum Lesen von Daten auf der Musterkonfigurationsseite secret scanning finden Sie unter Konfigurationsdaten für Secret-Scanning-Muster.

Erstellung von Sicherheitsmanagern für Ihre Organisation

Die Rolle des Sicherheitsmanagers gibt Mitgliedern Ihrer Organisation die Möglichkeit, Sicherheitseinstellungen und Warnmeldungen in Ihrer gesamten Organisation zu verwalten. Sicherheitsverantwortliche können über die Sicherheitsübersicht die Daten für alle Repositories in Ihrer Organisation einsehen.

Weitere Informationen zur Rolle des Sicherheitsmanagers findest du unter Verwalten von Sicherheitsmanagern in deiner Organisation.

Informationen zum Zuweisen der Rolle „Sicherheitsmanager“ findest du unter Verwenden von Organisationsrollen.