Schnellstart für die Sicherung Ihres Repositorys

Verwalte den Zugriff auf deinen Code. Finde und behebe automatisch anfälligen Code und Abhängigkeiten.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

In diesem Artikel

Einführung

In diesem Leitfaden erfährst du, wie du Sicherheitsfunktionen für ein Repository konfigurierst.

Deine Sicherheitsbedürfnisse sind für dein Repository individuell, daher musst du vielleicht nicht jedes Feature für dein Repository aktivieren. Weitere Informationen finden Sie unter GitHub-Sicherheitsfeatures.

Einige Features sind für Repositorys in allen Plänen verfügbar. Zusätzliche Features sind Organisationen und Unternehmen verfügbar, die GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security verwenden. GitHub Advanced Security-Features werden ebenfalls für alle öffentlichen Repositorys auf GitHub aktiviert. Weitere Informationen finden Sie unter Informationen zu GitHub Advanced Security.

Verwalten des Zugriffs auf dein Repository

Der erste Schritt zur Sicherung eines Repositorys besteht darin einzurichten, wer deinen Code sehen und ändern darf. Weitere Informationen finden Sie unter Verwalten der Einstellungen und Features Ihres Repositorys.

Klicken Sie auf der Hauptseite Ihres Repositorys auf "Einstellungen", und scrollen Sie dann nach unten zur "Gefahrenzone".

Verwalten des Abhängigkeitsdiagramms

          Repositoryadmins können das Abhängigkeitsdiagramm für Repositorys aktivieren oder deaktivieren. Das Abhängigkeitsdiagramm interpretiert Manifestdateien und sperrt Dateien in einem Repository, um Abhängigkeiten zu identifizieren.
  1. Klicken Sie auf der Hauptseite Ihres Repositorys auf "Einstellungen".
  2. Klicken Sie auf Advanced Security.
  3. Klicke neben dem Abhängigkeitsdiagramm auf Aktivieren oder Deaktivieren.

Weitere Informationen finden Sie unter Untersuchen der Abhängigkeiten eines Repositorys.

Verwalten Dependabot alerts

          Dependabot alerts werden generiert, wenn GitHub eine Abhängigkeit im Abhängigkeitsdiagramm mit einer Sicherheitsanfälligkeit identifiziert wird. 
          Sie können Dependabot alerts für jedes Repository aktivieren.

Darüber hinaus können Sie Dependabot auto-triage rules verwenden, um Ihre Warnungen in großem Umfang zu verwalten, so dass Sie Warnungen automatisch ignorieren oder den Standbymodus aktivieren können und angeben können, für welche Warnungen Dependabot Pull Requests öffnen soll. Weitere Informationen zu den verschiedenen Typen von Regeln für die automatische Triage und zu den Berechtigungen deiner Repositorys findest du unter Über Auto-Triage-Regeln von Dependabot.

Eine Übersicht über die verschiedenen Features von Dependabot und Anweisungen zu den ersten Schritten findest du unter Schnellstartanleitung für Dependabot.

  1. Klicke auf dein Profilbild und dann auf Settings.
  2. Klicken Sie auf Advanced Security.
  3. Klicken Sie auf "Aktivieren " neben Dependabot alerts.

Weitere Informationen finden Sie unter Informationen zu Dependabot-Warnungen und .

Verwaltung der Abhängigkeitsüberprüfung

Mit der Abhängigkeitsüberprüfung kannst du Abhängigkeitsänderungen in Pull-Anforderungen visualisieren, bevor sie in deine Repositorys zusammengeführt werden. Weitere Informationen finden Sie unter Informationen zur Abhängigkeitsüberprüfung.

Die Abhängigkeitsüberprüfung ist eine GitHub Code Security Funktion. Die Abhängigkeitsüberprüfung ist für alle Repositorys aktiviert, für die das Abhängigkeitsdiagramm aktiviert ist. Organisationen, die GitHub Team oder GitHub Enterprise Cloud mit GitHub Code Security verwenden, können zusätzlich die Abhängigkeitsüberprüfung für private und interne Repositorys aktivieren.

Um die Abhängigkeitsüberprüfung für ein Repository zu aktivieren, stellen Sie sicher, dass das Abhängigkeitsdiagramm aktiviert ist.

  1. Klicken Sie auf der Hauptseite Ihres Repositorys auf "Einstellungen".
  2. Klicken Sie auf Advanced Security.
  3. Klicken Sie rechts neben Code Security, auf Aktivieren.
  4. Überprüfen Sie Code Security, ob das Abhängigkeitsdiagramm für das Repository aktiviert ist.

Verwalten Dependabot security updates

Für jedes Repository, das Dependabot alerts verwendet, können Sie Dependabot security updates aktivieren, um Pull-Requests mit Sicherheitsupdates auszulösen, sobald Sicherheitsrisiken erkannt werden.

  1. Klicken Sie auf der Hauptseite Ihres Repositorys auf "Einstellungen".
  2. Klicken Sie auf Advanced Security.
  3. Klicken Sie neben Dependabot security updates auf "Aktivieren".

Weitere Informationen findest du unter Informationen zu Dependabot-Sicherheitsupdates und Konfigurieren von Dependabot-Sicherheitsupdates.

Verwalten Dependabot version updates

Sie können Dependabot aktivieren, um automatisch Pull-Requests auszulösen und Ihre Abhängigkeiten aktuell zu halten. Weitere Informationen finden Sie unter Informationen zu Updates von Dependabot-Versionen.

  1. Klicken Sie auf der Hauptseite Ihres Repositorys auf "Einstellungen".
  2. Klicken Sie auf Advanced Security.
  3. Als nächstes, klicken Sie auf Dependabot version updates**"Aktivieren"**, um eine einfache dependabot.ymlKonfigurationsdatei zu erstellen.
  4. Geben Sie die zu aktualisierenden Abhängigkeiten und alle zugehörigen Konfigurationsoptionen an und committen Sie die Datei dann an das Repository. Weitere Informationen finden Sie unter Konfigurieren von Dependabot-Versionsupdates.

Konfigurieren Code Security

Hinweis

          Code Security Features sind für alle öffentlichen Repositories und für private Repositories verfügbar, die zu einem Team oder einem Unternehmen gehören, das GitHub Code Security oder GitHub Advanced Security verwendet.

          GitHub Code Security, code scanning, CodeQL CLI und Copilot Autofix, sowie weitere Features, die Sicherheitsrisiken in Ihrer Codebasis erkennen und beheben.

Sie können code scanning so konfigurieren, dass Sicherheitsrisiken und Fehler im Code, der in Ihrem Repository gespeichert ist, automatisch mithilfe eines CodeQL-Analyseworkflow- oder eines Drittanbieter-Tools identifiziert werden. Abhängig von den Programmiersprachen in Ihrem Repository können Sie code scanning mithilfe des Standardsetups konfigurieren, wobei CodeQLGitHub automatisch die zu scannenden Sprachen, die auszuführenden Abfragesammlungen und die Ereignisse, die einen neuen Scan auslösen, bestimmt. Weitere Informationen finden Sie unter Konfigurieren des Standardsetups für das Code-Scanning.

  1. Klicken Sie auf der Hauptseite Ihres Repositorys auf "Einstellungen".
  2. Klicken Sie im Abschnitt "Sicherheit" der Randleiste auf Advanced Security.
  3. Wenn "Code Security" oder "GitHub Advanced Security" noch nicht aktiviert ist, klicken Sie auf "Aktivieren".
  4. Wählen Sie rechts neben "CodeQL-Analyse" die Option "Einrichten" aus, und klicken Sie dann auf "Standard".
  5. Überprüfen Sie im daraufhin angezeigten Popupfenster die Standardkonfigurationseinstellungen für Ihr Repository, und klicken Sie dann auf "Aktivieren" CodeQL.
  6. Wählen Sie aus, ob Sie zusätzliche Features aktivieren möchten, z.B. Copilot Autofix.

Als Alternative zum Standardsetup können Sie das erweiterte Setup verwenden, bei dem eine Workflowdatei generiert wird, die Sie bearbeiten können, um Ihr code scanningCodeQLanzupassen. Weitere Informationen finden Sie unter Konfigurieren des erweiterten Setups für das Code-Scanning.

Konfigurieren Secret Protection

Hinweis

          Secret Protection-Features sind für alle öffentlichen Repositorys und für private Repositorys verfügbar, die Teams oder Unternehmen gehören, die GitHub Secret Protection oder GitHub Advanced Security verwenden.

          GitHub Secret Protection umfasst secret scanning und Pushschutz sowie andere Features, mit denen Sie geheime Lecks in Ihrem Repository erkennen und verhindern können.
  1. Klicken Sie auf der Hauptseite Ihres Repositorys auf "Einstellungen".
  2. Klicken Sie auf Advanced Security.
  3. Wenn "Secret Protection" oder "GitHub Advanced Security" noch nicht aktiviert ist, klicken Sie auf "Aktivieren".
  4. Wenn die Option "Secret scanning" angezeigt wird, klicken Sie auf "Aktivieren".
  5. Wählen Sie aus, ob Sie zusätzliche Features aktivieren möchten, z. B. das Scannen nach Nicht-Anbietermustern und Pushschutz.

Festlegen einer Sicherheitsrichtlinie

Wenn du Repository-Maintainer bist, empfiehlt es sich, eine Sicherheitsrichtlinie für dein Repository anzugeben, indem du eine Datei mit dem Namen SECURITY.md im Repository erstellst. Diese Datei weist Benutzer darauf hin, wie sie sich am besten mit dir in Verbindung setzen und mit dir zusammenarbeiten können, wenn sie Sicherheitsrisiken in deinem Repository melden möchten. Sie können die Sicherheitsrichtlinie eines Repositorys auf der Registerkarte des Repositorys Security and quality anzeigen.

  1. Klicken Sie auf der Hauptseite Ihres Repositorys auf Security and quality.
  2. Klicken Sie in der linken Randleiste unter "Berichterstellung" auf "Richtlinie".
  3. Klicke auf Start setup (Setup starten).
  4. Füge Informationen über unterstützte Versionen deines Projekts hinzu und wie du Sicherheitsrisiken melden kannst.

Weitere Informationen finden Sie unter Hinzufügen einer Sicherheitsrichtlinie für dein Repository.

Nächste Schritte

Du kannst Warnungen von Sicherheitsfeatures anzeigen und verwalten, um Abhängigkeiten und Sicherheitsrisiken in deinem Code zu bearbeiten. Weitere Informationen findest du unter Anzeigen und Aktualisieren von Dependabot-Warnungen, Verwalten von Pull Requests für Abhängigkeitsupdates, Bewertung von Code-Scanning-Warnungen für Ihr Repository und Verwalten von Warnungen zur Geheimnisüberprüfung.

Sie können auch die Tools von GitHub verwenden, um Antworten auf Sicherheitswarnungen zu überprüfen. Weitere Informationen finden Sie unter Prüfen von Sicherheitswarnungen.

          Wenn Sie über eine Sicherheitslücke in einem öffentlichen Repository verfügen, können Sie eine Sicherheitsempfehlung erstellen, um die Sicherheitsanfälligkeit privat zu besprechen und zu beheben. Weitere Informationen findest du unter [AUTOTITLE](/code-security/security-advisories/working-with-repository-security-advisories/about-repository-security-advisories) und [AUTOTITLE](/code-security/security-advisories/working-with-repository-security-advisories/creating-a-repository-security-advisory).

Wenn Sie GitHub Actions verwenden, können Sie die Sicherheitsfeatures von GitHub verwenden, um die Sicherheit Ihrer Workflows zu erhöhen. Weitere Informationen finden Sie unter Referenz zur sicheren Verwendung.