Skip to main content

GitHub Sicherheitsfunktionen

Eine Übersicht über die Sicherheitsfeatures von GitHub.

Informationen zu GitHubSicherheitsmerkmalen

GitHubDie Sicherheitsfeatures helfen Ihnen, Ihren Code und geheime Schlüssel in Repositorys und in allen Organisationen sicher zu halten.

  • Einige Features sind standardmäßig für alle Repositorys verfügbar.
  • Zusätzliche Features stehen Unternehmen zur Verfügung, die ein GitHub Advanced Security Produkt erwerben:

Für alle GitHub Pläne verfügbar

Die folgenden Sicherheitsfunktionen stehen Ihnen zur Verfügung, unabhängig davon, in welchem GitHub Plan Sie sich befinden. Sie müssen GitHub Secret Protection or GitHub Code Security nicht erwerben, um diese Funktionen zu nutzen.

Sicherheitsrichtlinie

Hiermit vereinfachst du es deinen Benutzer*innen, in deinem Repository gefundene Sicherheitsrisiken vertraulich zu melden. Weitere Informationen finden Sie unter Hinzufügen einer Sicherheitsrichtlinie für dein Repository.

Abhängigkeitsdiagramm

Mit dem Abhängigkeitsdiagramm kannst du die Ökosysteme und Pakete erkunden, von denen dein Repository abhängig ist, sowie die Repositorys und Pakete, die von deinem Repository abhängen.

Du findest das Abhängigkeitsdiagramm auf der Registerkarte Erkenntnisse des Repositorys. Weitere Informationen finden Sie unter Abhängigkeitsdiagramm.

Software-Stückliste (Software Bill of Materials, SBOM)

Sie können den Abhängigkeitsgraphen Ihres Repositorys als SPDX-kompatible Software-Stückliste (SBOM) exportieren. Weitere Informationen finden Sie unter Exportieren einer Software-Stückliste (Software Bill of Materials, SBOM) für dein Repository.

GitHub Advisory Database

Das GitHub Advisory Database enthält eine kuratierte Liste der Sicherheitsrisiken, die Sie anzeigen, suchen und filtern können. Weitere Informationen finden Sie unter Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database.

Dependabot alerts und Sicherheitsupdates

Du kannst Warnungen zu Abhängigkeiten mit bekannten Sicherheitsrisiken anzeigen, und entscheiden, ob Pull Requests automatisch generiert werden sollen, um diese Abhängigkeiten zu aktualisieren. Weitere Informationen findest du unter Dependabot-Warnungen und Dependabot-Sicherheitsupdates.

Sie können auch die standardmäßig von Dependabot auto-triage rules kuratierten GitHub verwenden, um automatisch eine große Anzahl an falsch-positiven Ergebnissen herauszufiltern.

Eine Übersicht über die verschiedenen Features Dependabot und Anweisungen zum Einstieg finden Sie unter Schnellstartanleitung für Dependabot.

Dependabot version updates

Verwenden Sie Dependabot, um Pullanforderungen automatisch auszuheben und Ihre Abhängigkeiten auf dem neuesten Stand zu halten. Dadurch wird die Gefährdung von älteren Versionen durch Abhängigkeiten verringert. Die Verwendung neuerer Versionen erleichtert das Anwenden von Patches, wenn Sicherheitsrisiken erkannt werden, und erleichtert auch das Dependabot security updates erfolgreiche Auslösen von Pullanforderungen zum Upgrade anfälliger Abhängigkeiten. Sie können auch Dependabot version updates anpassen, um die Integration in Ihre Repositories zu optimieren. Weitere Informationen finden Sie unter Dependabot-Versionsaktualisierungen.

Repositoryregelsätze

Besprechen und beheben Sie Sicherheitslücken im Code Ihres öffentlichen Repositorys vertraulich. Weitere Informationen finden Sie unter Informationen zu Regelsätzen.

Verfügbar mit GitHub Secret Protection

Bei Konten auf GitHub Enterprise Server können Sie beim Kauf von GitHub Secret Protection auf zusätzliche Sicherheitsfunktionen zugreifen.

GitHub Secret Protection enthält Funktionen, mit denen Sie Leaks von Zugangsdaten und die Verbreitung von Geheimnissen erkennen und verhindern können, wie zum Beispiel secret scanning zum Erkennen fest im Code eingebetteter Zugangsdaten und einen Pushschutz zum Blockieren dieser Zugangsdaten, bevor sie ihr Repository erreichen.

Diese Features sind für alle Repositorytypen verfügbar.

Geheime Überprüfung

Automatisch hardcodierte Anmeldeinformationen erkennen, die in ein Repository eingecheckt wurden. Sie können Warnungen für alle Secrets anzeigen, die GitHub in Ihrem Code findet, auf der Security Registerkarte Ihres Repositorys. So können Sie schnell auf Credential-Leaks reagieren. Weitere Informationen finden Sie unter Geheimnisüberprüfung.

Push-Schutz

Der Push-Schutz scannt proaktiv Ihren Code und den Code aller Repository-Mitwirkenden während des Push-Vorgangs auf fest codierte Geheimnisse und blockiert den Push, wenn dabei ein Leck von Anmeldeinformationen festgestellt wird. Wenn ein Mitwirkender den Block umgeht, wird eine Warnung generiert. Weitere Informationen finden Sie unter Pushschutz.

Delegierte Umgehung für den Push-Schutz

Mit delegierter Umgehung für den Pushschutz können Sie steuern, welche Personen, Rollen und Teams:

  • Kann den Pushschutz umgehen
  • Kann Umgehungsanforderungen von anderen Mitwirkenden überprüfen

Weitere Informationen finden Sie unter Delegierte Umgehung für den Schutz von Push-Benachrichtigungen.

Angepasste Muster

Sie können benutzerdefinierte Muster definieren, um geheime Schlüssel zu identifizieren, die von den standardmäßig unterstützten Mustern nicht erkannt werden secret scanning, beispielsweise Muster, die intern in Ihrer Organisation verwendet werden. Weitere Informationen finden Sie unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.

Sicherheitsübersicht

Die Sicherheitsübersicht ermöglicht es Ihnen, die allgemeine Sicherheitslandschaft Ihrer Organisation zu überprüfen, Trends und andere Einblicke anzuzeigen und Sicherheitskonfigurationen zu verwalten, wodurch es einfach ist, den Sicherheitsstatus Ihrer Organisation zu überwachen und die Repositorys und Organisationen mit größtem Risiko zu identifizieren. Weitere Informationen finden Sie unter Sicherheitsübersicht.

Verfügbar mit GitHub Code Security

Bei Konten auf GitHub Enterprise Server können Sie beim Kauf von GitHub Code Security auf zusätzliche Sicherheitsfunktionen zugreifen.

GitHub Code Security enthält Funktionen, die Ihnen helfen, Schwachstellen zu finden und zu beheben, wie code scanning, Premium-Dependabot-Funktionen und Abhängigkeitsüberprüfungen.

Diese Features sind für alle Repositorytypen verfügbar.

Code scanning

Hiermit kannst du Sicherheitsrisiken und Fehler in neuem oder geänderten Code automatisch erkennen. Mögliche Probleme werden hervorgehoben und mit detaillierten Informationen angezeigt, damit du den Code korrigieren kannst, bevor er mit dem Standardbranch zusammengeführt wird. Weitere Informationen finden Sie unter Code scanning.

CodeQL CLI

Führen Sie CodeQL Prozesse lokal für Softwareprojekte aus oder generieren Sie code scanning Ergebnisse für den Upload in GitHub. Weitere Informationen finden Sie unter CodeQL-Befehlszeilenschnittstelle.

Benutzerdefinierte Regeln für die automatische Triage für Dependabot

Wir helfen Ihnen, Ihr Dependabot alerts in großem Umfang zu verwalten. Mit Benutzerdefinierte Regeln für die automatische Triage haben Sie Kontrolle darüber, welche Warnungen Sie ignorieren, schlummern lassen oder für welche Sie ein Dependabot-Sicherheitsupdate auslösen möchten. Weitere Informationen findest du unter Dependabot-Warnungen und Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen.

Abhängigkeitsüberprüfung

Zeige die vollständigen Auswirkungen von Änderungen an Abhängigkeiten an, und sieh dir Details zu anfälligen Versionen an, bevor du einen Pull Request zusammenführst. Weitere Informationen finden Sie unter Abhängigkeitsüberprüfung.

Sicherheitsübersicht

Die Sicherheitsübersicht ermöglicht es Ihnen, die allgemeine Sicherheitslandschaft Ihrer Organisation zu überprüfen, Trends und andere Einblicke anzuzeigen und Sicherheitskonfigurationen zu verwalten, wodurch es einfach ist, den Sicherheitsstatus Ihrer Organisation zu überwachen und die Repositorys und Organisationen mit größtem Risiko zu identifizieren. Weitere Informationen finden Sie unter Sicherheitsübersicht.

Weiterführende Themen