Interpretieren von Sicherheitsergebnissen

Sie können Sicherheitsdaten bezüglich Repositorys in Ihrer Organisation analysieren, um festzustellen, ob Sie Änderungen an Ihren Sicherheitseinstellungen vornehmen müssen.

Wer kann dieses Feature verwenden?

Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Organisationsmitglieder mit der Administratorrolle

In diesem Artikel

Info zu Sicherheitsergebnisse

Nachdem Sie ein security configuration auf ein Repository angewendet haben, liefern die aktivierten Sicherheitsfeatures wahrscheinlich Sicherheitsergebnisse für dieses Repository. Diese Ergebnisse können als featurespezifische Warnungen oder als automatisch generierte Pull Requests angezeigt werden, die so konzipiert sind, dass deine Repositorys sicher bleiben. Sie können die Ergebnisse in der gesamten Organisation analysieren und erforderliche Anpassungen an der security configuration vornehmen.

Du solltest die Mitwirkenden dazu ermutigen, Sicherheitswarnungen und Pull Requests zu überprüfen und aufzulösen, um deine Organisation möglichst gut zu schützen.

Interpretieren von secret scanning-Warnungen

Secret scanning ist ein Sicherheitstool, das den gesamten Git-Verlauf von Repositorys sowie die Probleme, Pull Requests und Diskussionen in diesen Repositorys auf offengelegte Geheimnisse durchsucht, die versehentlich übergeben wurden, wie etwa Token oder private Schlüssel. Es gibt zwei Arten von secret scanning-Warnungen:

  • Warnungen zur Geheimnisüberprüfung für Partner, die an den Anbieter gesendet werden, der den geheimen Schlüssel ausgeben hat
  • Warnungen zur Geheimnisüberprüfung für Benutzer*innen, die in GitHub angezeigt werden und aufgelöst werden können

Sie können die secret scanning-Warnungen für eine Organisation anzeigen, indem Sie zur Hauptseite der betreffenden Organisation navigieren, auf die Registerkarte Sicherheit klicken und dann auf Secret scanning.

Eine Einführung in secret scanning-Warnungen finden Sie unter Informationen zu Warnungen zur Geheimnisüberprüfung.

Informationen zum Bewerten von secret scanning-Warnungen finden Sie unter „Bewerten von Warnungen aus der Geheimnisüberprüfung“.

Interpretieren von code scanning-Warnungen

Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codefehler zu finden. Alle von der Analyse ermittelten Probleme werden im Repository angezeigt. Diese Probleme werden als code scanning-Warnungen behandelt, die detaillierte Informationen zur Verwundbarkeit oder zum erkannten Fehler enthalten.

Sie können die code scanning-Warnungen für eine Organisation anzeigen, indem Sie zur Hauptseite der betreffenden Organisation navigieren, auf die Registerkarte Sicherheit klicken und dann auf Code scanning.

Eine Einführung in code scanning-Warnungen finden Sie unter Informationen zu Codeüberprüfungswarnungen.

Informationen dazu, wie Sie code scanning-Warnungen interpretieren und beheben können, finden Sie unter „Bewerten von Warnungen der Codeüberprüfung für das Repository“ und „Problemlösung für Warnungen der Codeüberprüfung“.

Interpretieren von Dependabot alerts

Dependabot alerts informieren Sie über Schwachstellen in den Abhängigkeiten, die Sie in Repositorys in Ihrer Organisation verwenden. Sie können Dependabot alerts für eine Organisation anzeigen, indem Sie zur Hauptseite der betreffenden Organisation navigieren, auf die Registerkarte Sicherheit klicken und dann auf Dependabot.

Eine Einführung in Dependabot alerts finden Sie unter Informationen zu Dependabot-Warnungen.

Wie Sie Dependabot alerts interpretieren und auflösen können, erfahren Sie unter Anzeigen und Aktualisieren von Dependabot-Warnungen.

Hinweis: Wenn Sie Dependabot security updates aktiviert haben, kann Dependabot außerdem automatisch Pull Requests auslösen, um die Abhängigkeiten in den Repositorys der Organisation zu aktualisieren. Weitere Informationen findest du unter Informationen zu Dependabot-Sicherheitsupdates.

Nächste Schritte

Wenn Sie die GitHub-recommended security configuration verwenden und Ihre Ergebnisse darauf hinweisen, dass die Sicherheitsaktivierungseinstellungen nicht Ihren Anforderungen entsprechen, sollten Sie eine custom security configuration erstellen. Weitere Informationen zu den ersten Schritten findest du unter Creating a custom security configuration.

Wenn Sie eine custom security configuration verwenden und Ihre Ergebnisse darauf hinweisen, dass die Sicherheitsaktivierungseinstellungen nicht Ihren Anforderungen entsprechen, können Sie Ihre bestehenden Konfigurationen ändern. Weitere Informationen findest du unter Bearbeiten einer angepassten Sicherheitskonfiguration.

Zu guter Letzt können Sie ihre Sicherheitseinstellungen auf Organisationsebene auch mit global settings bearbeiten. Weitere Informationen finden Sie unter Konfigurieren globaler Sicherheitseinstellungen für Ihre Organisation.