Erstellen einer benutzerdefinierten Sicherheitskonfiguration

Erstellen Sie eine custom security configuration, um die spezifischen Sicherheitsanforderungen von Repositorys in Ihrer Organisation zu erfüllen.

Wer kann dieses Feature verwenden?

Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Organisationsmitglieder mit der Administratorrolle

In diesem Artikel

Mit custom security configurations können Sie Sammlungen von Aktivierungseinstellungen für die Sicherheitsprodukte von GitHub erstellen, um die spezifischen Sicherheitsanforderungen Ihrer Organisation zu erfüllen. Sie können z. B. für jede Repositorygruppe eine andere custom security configuration erstellen, um ihre unterschiedlichen Sichtbarkeitsniveaus, Risikotoleranzen und Auswirkungen widerzuspiegeln.

  • Auf der Benutzeroberfläche werden nur Features angezeigt, die von einem Siteadministrator in deiner GitHub Enterprise Server-Instanz installiert wurden.
  • Einige Features werden nur angezeigt, wenn deine Organisation oder GitHub Enterprise Server-Instanz über das entsprechende GitHub Advanced Security-Produkt verfügt (GitHub Code Security oder GitHub Secret Protection).
  • Bestimmte Features wie Dependabot security updates und das Standardsetup für code scanning erfordern, dass GitHub Actions in der GitHub Enterprise Server-Instanz installiert ist.

Wichtig

Die Reihenfolge und die Namen einiger Einstellungen unterscheiden sich je nachdem, ob du Lizenzen für das ursprüngliche GitHub Advanced Security-Produkt oder für die beiden neuen Produkte verwendest: GitHub Code Security und GitHub Secret Protection. Siehe Erstellen einer GitHub Advanced Security-Konfiguration oder Erstellen einer Secret Protection and Code Security-Konfiguration.

Erstellen einer Secret Protection and Code Security-Konfiguration

  1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.

  2. Klicke unter dem Organisationsnamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot der Registerkarten im Profil einer Organisation. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Wähle im Abschnitt „Security“ der Randleiste das Dropdownmenü Advanced Security aus, und klicke anschließend auf Configurations.

  4. Klicke im Abschnitt „Security configurations“ auf New configuration.

  5. Um deine custom security configuration zu identifizieren und ihren Zweck auf der Seite „Security configurations“ zu erläutern, benenne deine Konfiguration, und erstelle eine Beschreibung.

  6. Optional kannst du das kostenpflichtige Feature „Secret Protection“ für private Repositorys aktivieren. Durch das Aktivieren von Secret Protection werden Warnungen für secret scanning aktiviert. Darüber hinaus kannst du auswählen, ob du die vorhandenen Einstellungen für die folgenden secret scanning-Features aktivieren, deaktivieren oder beibehalten möchtest: * Nicht-Anbieter-Muster. Weitere Informationen zum Suchen nach Nichtanbietermustern findest du unter Unterstützte Scanmuster für Secrets und Anzeigen und Filtern von Warnungen aus der Secrets-Überprüfung. * Push-Schutz. Weitere Informationen zum Push-Schutz findest du unter Informationen zum Pushschutz. * Bypass-Privilegien. Durch Zuweisen von Umgehungsrechten können ausgewählte Organisationsmitglieder den Push-Schutz umgehen, und es gibt einen Überprüfungs- und Genehmigungsprozess für alle anderen Mitwirkenden. Weitere Informationen findest du unter Info zur delegierten Umgehung für den Pushschutz. * Verhindern von direkten Warnhinweisen. Weitere Informationen findest du unter Aktivieren des delegierten Schließens von Warnungen für die Geheimnisüberprüfung.

  7. Optional kannst du das kostenpflichtige Feature „Code Security“ für private Repositorys aktivieren. Du kannst auswählen, ob du die vorhandenen Einstellungen für die folgenden code scanning-Features aktivieren, deaktivieren oder beibehalten möchtest: * Standardeinrichtung. Weitere Informationen zum Standardsetup findest du unter Konfigurieren des Standardsetups für das Code-Scanning.

Hinweis

Um eine Konfiguration zu erstellen, die du unabhängig von den aktuellen code scanning-Setups auf alle Repositorys anwenden kannst, wähle „Enabled with advanced setup allowed“ aus. Diese Einstellung aktiviert das Standardsetup nur in Repositorys, in denen die CodeQL-Analyse nicht aktiv ausgeführt wird. Option in GitHub Enterprise Server 3.19 verfügbar.

  •      **Runner Typ**. Wenn du bestimmte Runner für code scanning festlegen möchtest, kannst du in diesem Schritt Runner mit benutzerdefinierter Bezeichnung verwenden. Weitere Informationen findest du unter [AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning#assigning-labels-to-runners).

* 

          **Verhindern von direkten Warnhinweisen**. Weitere Informationen findest du unter [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/enabling-delegated-alert-dismissal-for-code-scanning).

  1. Wähle in der Tabelle „Dependency scanning“ unter „Code Security“ aus, ob du die vorhandenen Einstellungen für die folgenden Features der Abhängigkeitsüberprüfung aktivieren, deaktivieren oder beibehalten möchtest: * Abhängigkeitsdiagramm Weitere Informationen zum Abhängigkeitsdiagramm findest du unter Informationen zum Abhängigkeitsdiagramm.

    Tipp

    Werden sowohl „Code Security“ als auch das Abhängigkeitsdiagramm aktiviert, wird zugleich die Abhängigkeitsüberprüfung aktiviert. Weitere Informationen findest du unter Informationen zur Abhängigkeitsüberprüfung.

    •      **Dependabot Warnungen**. Weitere Informationen zu Dependabot findest du unter [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts).

    •      **Sicherheitsupdates**. Um mehr über Sicherheitsupdates zu erfahren, siehe [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).

  2. Optional kannst du im Abschnitt „Policy“ steuern, wie die Konfiguration angewendet werden soll: * Als Standard für neu erstellte Repositories verwenden. Wähle das Dropdownmenü None aus, und klicke anschließend auf Public, Private and internal oder All repositories.

    Hinweis

    Die Standardeinstellung security configuration für eine Organisation wird nur automatisch auf neue Repositorys angewendet, die in deiner Organisation erstellt werden. Wenn ein Repository in Ihre Organisation übertragen wird, müssen Sie immer noch eine entsprechende security configuration manuell auf das Repository anwenden.

    •      **Konfiguration erzwingen**. Hindere Repositorybesitzer daran, Features zu ändern, die in der Konfiguration aktiviert oder deaktiviert wurden (nicht festgelegte Features werden nicht erzwungen). Wähle im Dropdownmenü die Option **Enforce** aus.

    Hinweis

    In einigen Fällen kann die Erzwingung von security configurations unterbrochen werden. Weitere Informationen findest du unter Erzwingung der Sicherheitskonfiguration.

  3. Klicken Sie auf Konfiguration speichern, um die Erstellung Ihrer custom security configuration abzuschließen.

Erstellen einer GitHub Advanced Security-Konfiguration

  1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.

  2. Klicke unter dem Organisationsnamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot der Registerkarten im Profil einer Organisation. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Wähle im Abschnitt „Security“ der Randleiste das Dropdownmenü Advanced Security aus, und klicke anschließend auf Configurations.

  4. Klicke im Bereich „Sicherheitskonfigurationen“ auf Neue Konfiguration.

  5. Um deine custom security configuration zu identifizieren und ihren Zweck auf der Seite „Neue Konfiguration“ zu verdeutlichen, benenne deine Konfiguration und erstelle eine Beschreibung.

  6. Wähle in der Zeile „GitHub Advanced Security features“ aus, ob GitHub Advanced Security-Features (GHAS) ein- oder ausgeschlossen werden sollen.

  7. Wähle in der Tabelle „Secret scanning“ aus, ob du die bestehenden Einstellungen für die folgenden Sicherheitsfunktionen aktivieren, deaktivieren oder beibehalten möchtest: * Warnungen: Um mehr über Warnungen zur Geheimnisüberprüfung zu erfahren, siehe Informationen zur Geheimnisüberprüfung. * Nicht-Anbieter-Muster. Weitere Informationen zum Suchen nach Nichtanbietermustern findest du unter Unterstützte Scanmuster für Secrets und Anzeigen und Filtern von Warnungen aus der Secrets-Überprüfung. * Push-Schutz. Weitere Informationen zum Push-Schutz findest du unter Informationen zum Pushschutz. * Bypass-Privilegien. Durch Zuweisen von Umgehungsrechten können ausgewählte Organisationsmitglieder den Push-Schutz umgehen, und es gibt einen Überprüfungs- und Genehmigungsprozess für alle anderen Mitwirkenden. Weitere Informationen findest du unter Info zur delegierten Umgehung für den Pushschutz. * Verhindern von direkten Warnhinweisen. Weitere Informationen findest du unter Aktivieren des delegierten Schließens von Warnungen für die Geheimnisüberprüfung.

  8. Wähle in der Tabelle „Code scanning“ aus, ob du die bestehenden Einstellungen für die code scanning Standardeinrichtung aktivieren, deaktivieren oder beibehalten möchtest. * Standardeinrichtung. Weitere Informationen zum Standardsetup findest du unter Konfigurieren des Standardsetups für das Code-Scanning.

Hinweis

Um eine Konfiguration zu erstellen, die du unabhängig von den aktuellen code scanning-Setups auf alle Repositorys anwenden kannst, wähle „Enabled with advanced setup allowed“ aus. Diese Einstellung aktiviert das Standardsetup nur in Repositorys, in denen die CodeQL-Analyse nicht aktiv ausgeführt wird. Option in GitHub Enterprise Server 3.19 verfügbar.

  •      **Runner Typ**. Wenn du bestimmte Runner für code scanning festlegen möchtest, kannst du in diesem Schritt Runner mit benutzerdefinierter Bezeichnung verwenden. Weitere Informationen findest du unter [AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning#assigning-labels-to-runners).

* 

          **Verhindern von direkten Warnhinweisen**. Weitere Informationen findest du unter [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/enabling-delegated-alert-dismissal-for-code-scanning).

  1. Wähle in der Tabelle „Scannen von Abhängigkeiten“ aus, ob du die bestehenden Einstellungen für die folgenden Funktionen des Scannens von Abhängigkeiten aktivieren, deaktivieren oder beibehalten möchtest: * Abhängigkeitsdiagramm Weitere Informationen zum Abhängigkeitsdiagramm findest du unter Informationen zum Abhängigkeitsdiagramm.

    Tipp

    Wenn sowohl „GitHub Advanced Security“ als auch der Dependency graph aktiviert sind, ermöglicht dies die Überprüfung von Abhängigkeiten, siehe Informationen zur Abhängigkeitsüberprüfung.

    •      **Dependabot Warnungen**. Weitere Informationen zu Dependabot findest du unter [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts).

    •      **Sicherheitsupdates**. Um mehr über Sicherheitsupdates zu erfahren, siehe [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).

  2. Optional kannst du im Abschnitt „Policy“ steuern, wie die Konfiguration angewendet werden soll: * Als Standard für neu erstellte Repositories verwenden. Wähle das Dropdownmenü None aus, und klicke anschließend auf Public, Private and internal oder All repositories.

    Hinweis

    Die Standardeinstellung security configuration für eine Organisation wird nur automatisch auf neue Repositorys angewendet, die in deiner Organisation erstellt werden. Wenn ein Repository in Ihre Organisation übertragen wird, müssen Sie immer noch eine entsprechende security configuration manuell auf das Repository anwenden.

    •      **Konfiguration erzwingen**. Hindere Repositorybesitzer daran, Features zu ändern, die in der Konfiguration aktiviert oder deaktiviert wurden (nicht festgelegte Features werden nicht erzwungen). Wähle im Dropdownmenü die Option **Enforce** aus.

  3. Klicken Sie auf Konfiguration speichern, um die Erstellung Ihrer custom security configuration abzuschließen.

Nächste Schritte

Um deine custom security configuration auf Repositories in deiner Organisation anzuwenden, siehe Anwenden einer benutzerdefinierten Sicherheitskonfiguration.

Informationen zum Bearbeiten deiner custom security configuration findest du unter Bearbeiten einer angepassten Sicherheitskonfiguration.