Diese Version von GitHub Enterprise Server wurde eingestellt am 2025-04-03. Es wird keine Patch-Freigabe vorgenommen, auch nicht für kritische Sicherheitsprobleme. Für bessere Leistung, verbesserte Sicherheit und neue Features aktualisiere auf die neueste Version von GitHub Enterprise Server. Wende dich an den GitHub Enterprise-Support, um Hilfe zum Upgrade zu erhalten.

GitHub-Sicherheitsfeatures

Übersicht über die Sicherheitsfeatures von GitHub

In diesem Artikel

Grundlegendes zu den Sicherheitsfeatures von GitHub

Die Sicherheitsfeatures von GitHub unterstützen dich dabei, deinen Code und deine Geheimnisse in Repositorys und Organisationen zu schützen.

  • Einige Features sind für alle GitHub-Plänen verfügbar.
  • Zusätzliche Features sind für Unternehmen verfügbar, die GitHub Advanced Security erwerben.

Verfügbar für alle GitHub-Plänen

Die folgenden Sicherheitsfeatures sind unabhängig von deinem GitHub-Plan verfügbar.

Sicherheitsrichtlinie

Hiermit vereinfachst du es deinen Benutzer*innen, in deinem Repository gefundene Sicherheitsrisiken vertraulich zu melden. Weitere Informationen finden Sie unter Hinzufügen einer Sicherheitsrichtlinie für dein Repository.

Abhängigkeitsdiagramm

Mit dem Abhängigkeitsdiagramm kannst du die Ökosysteme und Pakete erkunden, von denen dein Repository abhängig ist, sowie die Repositorys und Pakete, die von deinem Repository abhängen.

Du findest das Abhängigkeitsdiagramm auf der Registerkarte Erkenntnisse des Repositorys. Weitere Informationen finden Sie unter Informationen zum Abhängigkeitsdiagramm.

Software-Stückliste (Software Bill of Materials, SBOM)

Du kannst das Abhängigkeitsdiagramm deines Repositorys als SPDX-kompatible Softwarestückliste (Software Bill of Materials, SBOM) exportieren. Weitere Informationen finden Sie unter Exportieren einer Software-Stückliste (Software Bill of Materials, SBOM) für dein Repository.

GitHub Advisory Database

Die GitHub Advisory Database enthält eine kuratierte Liste von Sicherheitsrisiken, die du anzeigen, durchsuchen und filtern kannst. Weitere Informationen finden Sie unter Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database.

Dependabot alerts und Sicherheitsupdates

Du kannst Warnungen zu Abhängigkeiten mit bekannten Sicherheitsrisiken anzeigen, und entscheiden, ob Pull Requests automatisch generiert werden sollen, um diese Abhängigkeiten zu aktualisieren. Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen und Informationen zu Dependabot-Sicherheitsupdates.

Du kannst durch GitHub kuratierte Standard-Dependabot auto-triage rules verwenden, um eine erhebliche Menge falsch positiver Ergebnisse herauszufiltern.

Eine Übersicht über die verschiedenen Features von Dependabot und Anweisungen zu den ersten Schritten findest du unter Schnellstartanleitung für Dependabot.

Dependabot version updates

Verwende Dependabot zur automatisch Generierung von Pull Requests, um deine Abhängigkeiten auf dem neuesten Stand zu halten. Dadurch wird die Gefährdung von älteren Versionen durch Abhängigkeiten verringert. Die Verwendung neuer Versionen erleichtert das Anwenden von Patches, wenn Sicherheitsrisiken erkannt werden. Ebenfalls erleichtert es Dependabot security updates das erfolgreiche Generieren von Pull Requests zum Upgraden anfälliger Abhängigkeiten. Du kannst auch Dependabot version updates anpassen, um die Integration in deine Repositorys zu verbessern. Weitere Informationen finden Sie unter Informationen zu Updates von Dependabot-Versionen.

Repository-Regelsätze

Erzwinge konsistente Codestandards, Sicherheit und Compliance in allen Branches und Tags. Weitere Informationen finden Sie unter Informationen zu Regelsätzen.

Verfügbar mit GitHub Advanced Security

GitHub Advanced Security-Features sind für Unternehmen mit einer Lizenz für GitHub Advanced Security verfügbar. Die Features sind auf Repositorys beschränkt, die einer Organisation gehören.

Geheimnisüberprüfung

Hiermit werden Token oder Anmeldeinformationen, die in ein Repository eingecheckt wurden, automatisch erkannt. Du kannst auf der Registerkarte Security des Repositorys Warnungen für alle Geheimnisse anzeigen, die GitHub in deinem Code erkennt, damit du weißt, welche Token oder Anmeldeinformationen als kompromittiert behandelt werden müssen. Weitere Informationen finden Sie unter Informationen zu Warnungen zur Geheimnisüberprüfung.

Pushschutz

Der Pushschutz überprüft deinen Code und den Code aller repositorymitwirkenden Personen während des Pushprozesses proaktiv auf Geheimnisse und blockiert den Push, wenn Geheimnisse erkannt werden. Wenn eine mitwirkende Person den Block umgeht, erstellt GitHub eine Warnung. Weitere Informationen finden Sie unter Informationen zum Pushschutz.

Benutzerdefinierte Muster

Du kannst benutzerdefinierte Muster definieren, um Geheimnisse zu identifizieren, die nicht von den Standardmustern wie interne Muster in deiner Organisation erkannt werden, die von secret scanning unterstützt werden. Weitere Informationen finden Sie unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.

Code scanning

Hiermit kannst du Sicherheitsrisiken und Fehler in neuem oder geänderten Code automatisch erkennen. Mögliche Probleme werden hervorgehoben und mit detaillierten Informationen angezeigt, damit du den Code korrigieren kannst, bevor er mit dem Standardbranch zusammengeführt wird. Weitere Informationen finden Sie unter Informationen zu Codescans.

CodeQL CLI

Führe CodeQL lokal in Softwareprojekten aus, oder generieren code scanning-Ergebnisse für den Upload auf GitHub. Weitere Informationen finden Sie unter Informationen zur CodeQL-CLI.

Benutzerdefinierte Regeln für die automatische Triage für Dependabot

Hilfe beim Verwalten Ihrer Dependabot alerts im großen Stil. Mit Benutzerdefinierte Regeln für die automatische Triage haben Sie die Kontrolle über die Warnungen, die Sie ignorieren wollen, auf Standby setzen wollen oder für die Sie ein Dependabot-Sicherheitsupdate auslösen wollen. Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen und Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen.

Abhängigkeitsüberprüfung

Zeige die vollständigen Auswirkungen von Änderungen an Abhängigkeiten an, und sieh dir Details zu anfälligen Versionen an, bevor du einen Pull Request zusammenführst. Weitere Informationen finden Sie unter Informationen zur Abhängigkeitsüberprüfung.

Sicherheitsübersicht

Die Sicherheitsübersicht ermöglicht es Ihnen, die allgemeine Sicherheitslandschaft Ihrer Organisation zu überprüfen, Trends und andere Einblicke anzuzeigen und Sicherheitskonfigurationen zu verwalten, wodurch es einfach ist, den Sicherheitsstatus Ihrer Organisation zu überwachen und die Repositorys und Organisationen mit größtem Risiko zu identifizieren. Weitere Informationen finden Sie unter Informationen zur Sicherheitsübersicht.

Weiterführende Themen