Du hast den Unternehmensbesitz inne und bist dafür verantwortlich, innerhalb deines Unternehmens einen starken Sicherheitsstatus zu wahren, Vorschriften einzuhalten, Risiken zu verringern und geistiges Eigentum zu schützen. GitHub verfügt über Tools, die ihnen helfen können.
Das Speichern des Codes GitHub Ihres Unternehmens ermöglicht eine einfache Zusammenarbeit, Nachverfolgung und Bereitstellung von einem einzigen Standort aus. Denn Projektbeteiligten das reibungslose Arbeiten in Repositorys zu ermöglichen, ist zwar wichtig für Kultur und Produktivität, du solltest jedoch auch gewisse Kontrollmechanismen implementieren, um sicherzustellen, dass dein Code sicher und zuverlässig bleibt.
Mit GitHub Enterprise haben Sie Zugriff auf GitHubs vollständiges Spektrum an Governance-Features, mit dem Sie Folgendes tun können:
- kontrollieren, wie Beteiligte Code aktualisieren können
- steuern, wie Beteiligte Repositorys verwenden können
- Überwachen der Aktivität
- kompromittierte Geheimnisse erkennen
- einen Genehmigungsprozess für wichtige Aktionen einrichten
- Sicherheitsrisiken oder Fehler im Code erkennen
Schützen von Branches
Bei wichtigen Branches in den Repositorys deines Unternehmens, z. B. solche mit Produktionscode, sollte dein Complianceframework das Risiko senken, dass Fehler oder bösartiger Code in deine Produktionsumgebungen gelangt.
Mit Regelsätzen kannst du Regeln anwenden, die steuern, wie mit bestimmten Branches interagiert werden kann. Du kannst bestimmten Benutzenden auch das Recht erteilen, die Regeln explizit zu umgehen. Dies ermöglicht Flexibilität und verdeutlicht gleichzeitig die vorgesehenen Einschränkungen.
Viele Unternehmen führen Regeln ein, die:
- Löschungen einschränken, damit du sicher sein kannst, dass die Benutzenden den Branch nicht versehentlich löschen
- ** Verlange eine Pull-Request** für alle Änderungen, damit du einen schriftlichen Nachweis hast und Überprüfungen durchsetzen kannst
- Verlangt vor dem Zusammenführen von Pull-Requests Statusüberprüfungen und erfolgreiche Bereitstellungen , damit ihr euch vor Fehlern in der Produktion schützen könnt.
Andere Regeln wie das Erfordern signierter Commits oder eines linearen Commitverlaufs hängen stärker von der Situation und deinen Complianceanforderungen ab.
Weitere Informationen findest du unter Informationen zu Regelsätzen.
Verwalten der Verwendung von Repositorys
Da der Code und die Daten deines Unternehmens in Repositorys aufbewahrt werden, solltest du unbedingt definieren, wie Benutzende mit deinen Repositorys interagieren können, um das Risiko von Datenlecks zu verringern. In den Unternehmenseinstellungen kannst du festlegen, dass Richtlinien:
- die Standardsichtbarkeit von Repositorys einschränken
- verhindern, dass Nichtmitglieder zu Repositorys eingeladen werden
- verhindern, dass Repositorys geforkt oder an einen Ort außerhalb einer Organisation übertragen werden
Das Ziel deiner Richtlinien sollte sein, deine Sicherheitsanforderungen beizubehalten und gleichzeitig die reibungslose Zusammenarbeit in der Entwicklung zu fördern. Sie können beispielsweise eine "Open Source"-Organisation für alle öffentlichen Repositorys Ihres Unternehmens erstellen und verhindern, dass öffentliche Repositorys in einer anderen Organisation erstellt werden.
Informationen zum Festlegen von Richtlinien finden Sie unterRichtlinien zur Verwaltung von Repositories in Ihrem Unternehmen erzwingen.
Adressierung von Richtlinien mit Metadaten
Sie können eine bessere Governance durch automatisierte Richtlinienerzwingung aktivieren. Dies ist mit benutzerdefinierten Eigenschaften möglich, sodass Sie Ihren Ressourcen strukturierte Metadaten hinzufügen können.
Mit benutzerdefinierten Repositoryeigenschaften können Sie Repositorys nach Attributen wie Risikostufe, Teambesitz oder Complianceanforderungen klassifizieren. Mit diesen Metadaten können Sie basierend auf Repositorymerkmalen automatisch unterschiedliche Governanceregeln anwenden.
Mit benutzerdefinierten Eigenschaften der Organisation können Sie Organisationen innerhalb Ihres Unternehmens nach Datenempfindlichkeit, regulatorischen Frameworks oder Geschäftseinheiten kategorisieren. Anschließend können Sie diese Eigenschaften verwenden, um Organisationen selektiv mit Enterprise-Rulesets zu adressieren.
Beide Arten von benutzerdefinierten Eigenschaften sind in Regelets integriert, sodass Sie leistungsstarke Governanceframeworks erstellen können, die die richtigen Richtlinien basierend auf Metadaten und nicht auf der manuellen Repositoryauswahl automatisch erzwingen.
Siehe Verwalten von benutzerdefinierten Eigenschaften für Repositorys in Ihrer Organisation.
Überwachen von Aktivitäten
Wenn etwas schiefgeht, ist es wichtig, Aktivitäten in deinem Unternehmen durchsuchen zu können, um die Ursache oder den Umfang des Problems zu untersuchen.
GitHubs Audit-Protokoll enthält detaillierte Einträge zu Ihrem Unternehmenskonto, Ihren Organisationen und, falls Sie Enterprise Managed Users verwenden, Ihren verwalteten Benutzern. Du kannst das Überwachungsprotokoll z. B. nach Abrechnungsaktivitäten filtern oder nach Ereignissen zu einem kompromittierten Token suchen.
Informationen zum Zugriff auf das Überwachungsprotokoll findest du unter Zugreifen auf das Überwachungsprotokoll für dein Unternehmen.
GitHub speichert Überwachungsprotokolldaten nicht unbegrenzt. Es wird empfohlen, deine Überwachungsprotokolle an einen externen Ort zu streamen, damit die Daten so lange wie nötig aufbewahrt und mit externen Tools abgefragt werden können. Weitere Informationen findest du unter Streaming des Überwachungsprotokolls für Ihre Organisation.
Verhindern, dass vertrauliche Informationen deine Codebasis erreichen
Um geistiges Eigentum zu schützen und Sicherheitsincidents zu verhindern, muss ein System implementiert werden, um vertrauliche Informationen wie Token aus deiner Codebasis herauszuhalten.
Secret scanning
Mit secret scanning diesem Code können Sie Ihren Code überprüfen, um vertrauliche Informationen wie API-Schlüssel, Kennwörter und andere Anmeldeinformationen in der Codebasis zu erkennen und unbefugten Zugriff und potenzielle Verstöße zu verhindern. Secret scanning warnt Sie bei vertraulichen Informationen in Ihrer Codebasis, sodass Sie entsprechend reagieren können, indem Sie Kennwörter ändern oder Token drehen.
Weitere Informationen findest du unter Geheimnisüberprüfung.
Secret scanning kann auf Unternehmens-, Organisations- und Repositoryebene aktiviert werden. Informationen zur Aktivierung auf Unternehmensebene finden Sie unter Konfigurieren der Geheimnisüberprüfung für deine Appliance .
Push-Schutz
Darüber hinaus kannst du mit Push-Schutz verhindern, dass vertrauliche Daten und Anmeldeinformationen versehentlich an Repositorys übertragen werden.
Der Push-Schutz scannt in Echtzeit auf Geheimnisse und blockiert Pushes, die potenziell vertrauliche Informationen enthalten. Organisationsbesitzende können Push-Schutzrichtlinien auf Organisationsebene konfigurieren, um einheitliche Sicherheitsstandards in allen Repositorys durchzusetzen. Wenn ein Push blockiert wird, erhält die Entwicklungsabteilung detaillierte Angaben zur Problembehebung, z. B. zum Entfernen des Geheimnisses aus dem Code.
Weitere Informationen findest du unter Pushschutz.
Der Push-Schutz kann auf Organisations-, Repository- und Benutzerkontoebene aktiviert werden. Weitere Informationen findest du unter Aktivieren des Push-Schutzes für dein Repository.
Hinweis
Die Konfiguration von Mustern für den Pushschutz auf Unternehmens- und Organisationsebene befindet sich derzeit in der Öffentliche Vorschau. Änderungen sind vorbehalten.
Um die Erkennung von Geheimnissen an internen Sicherheitsrichtlinien auszurichten und die unbefugte Offenlegung sensibler Informationen in deinen Repositorys effektiver zu verhindern, kannst du auf Unternehmens- oder Organisationsebene festlegen, welche Geheimnismuster in den Push-Schutz einbezogen werden. Weitere Informationen findest du unter Zusätzliche Einstellungen für Secret Scanning für dein Unternehmen festlegen und Konfigurieren globaler Sicherheitseinstellungen für Ihre Organisation.
Einrichten eines Genehmigungsprozesses für vertrauliche Aktionen
Du solltest auch einen Genehmigungsprozess einrichten, um besser zu steuern, wer in deinem Unternehmen vertrauliche Aktionen ausführen kann. Ein Genehmigungsprozess hilft, das Risiko nicht autorisierter oder böswilliger Änderungen zu verringern, und protokolliert, wer die Umgehung warum verwendet hat und stellt so sicher, dass alle Aktionen nachverfolgbar und rechenschaftspflichtig sind.
Hinweis
Die Implementierung dieses Genehmigungsprozesse kann unter Umständen Spannungen verursachen. Daher solltest du zunächst sicherstellen, dass dein Sicherheitsmanagementteam ausreichend Kompetenzen hat.
Genehmigungsprozesse sind verfügbar für:
- Umgehungen des Push-Schutzes: Du kannst auswählen, wer den Push-Schutz umgehen darf, und einen Überprüfungs- und Genehmigungszyklus für Pushes einrichten, die Geheimnisse der anderen Mitwirkenden enthalten. Weitere Informationen zur delegierten Umgehung für den Pushschutz finden Sie unter Delegierte Umgehung für den Schutz von Push-Benachrichtigungen.
- Verwerfen von Warnmeldungen für code scanning und secret scanning – Sie können mehr Kontrolle und Transparenz bei der Bewertung von Warnmeldungen ermöglichen, indem Sie sicherstellen, dass nur festgelegte Personen Warnmeldungen verwerfen (oder schließen) können. Weitere Informationen zur delegierten Warnungsentlassung finden Sie in den folgenden Artikeln:
Ermitteln von Sicherheitsrisiken und Fehlern
In vielen Branchen gelten Bestimmungen, die regelmäßige Sicherheitsbewertungen und Vulnerability Management vorschreiben. ** Code scanning ** trägt dazu bei, die Einhaltung von Branchenstandards zu gewährleisten, indem Sicherheitsrisiken in Ihrem Code identifiziert und mildert werden, z. B. unsichere Muster.
Code scanning kann in Ihre CI/CD-Pipeline integriert werden und bietet eine kontinuierliche Überwachung und Bewertung Ihrer Codebasis.
Für einen schnellen Einstieg mit code scanning empfehlen wir, die Standardeinrichtung zu verwenden. Weitere Informationen findest du unter Konfigurieren des Standardsetups für das Code-Scanning.
Code scanning kann auf Unternehmens-, Organisations- und Repositoryebene aktiviert werden. Informationen zur Aktivierung auf Unternehmensebene finden Sie unter Konfigurieren der Code-Analyse für Ihr Gerät .