Note
Wenn Dependabot alerts auf Unternehmensebene aktiviert oder deaktiviert sind, werden die Einstellungen auf Repositoryebene für Dependabot alerts überschrieben. Weitere Informationen finden Sie unter Konfigurieren von Dependabot-Warnungen.
Informationen zu Sicherheits- und Analyseeinstellungen für dein Repository
GitHub bietet eine Reihe verschiedener Sicherheitsfeatures, die du für dein Repository aktivieren kannst, um deinen Code vor Sicherheitsrisiken, unbefugtem Zugriff und anderen potenziellen Sicherheitsbedrohungen zu schützen. Viele dieser Features sind für öffentliche Repositorys kostenlos verfügbar.
Aktivieren oder Deaktivieren von Sicherheits- und Analysefeatures für öffentliche Repositorys
Du kannst eine Teilmenge von Sicherheits- und Analysefeatures für öffentliche Repositorys verwalten.
Du solltest mindestens Folgendes für dein öffentliches Repository aktivieren:
- Dependabot alerts informieren dich über Sicherheitsrisiken im Abhängigkeitsnetzwerk deines Projekts, damit du die betroffene Abhängigkeit auf eine sicherere Version updaten kannst.
- Secret scanning scannt dein Repository auf Geheimnisse (z. B. API-Schlüssel und Tokens) und benachrichtigt dich, wenn ein Geheimnis gefunden wird, sodass du das Geheimnis aus deinem Repository entfernen kannst.
- Mit dem Pushschutz wird in erster Linie verhindert, dass du (und deine Projektmitarbeitenden) Geheimnisse in das Repository einfügen, indem Pushs blockiert werden, die unterstützte Geheimnisse enthalten.
- Code scanning identifiziert Sicherheitsrisiken und Fehler im Code deines Repositorys, sodass du diese Probleme frühzeitig beheben kannst und verhindert wird, dass ein Sicherheitsrisiko oder Fehler von böswilligen Akteuren ausgenutzt wird.
Andere Features sind für öffentliche Repositorys dauerhaft aktiviert (z. B. das Abhängigkeitsdiagramm, das dir alle Bibliotheken und Pakete anzeigt, von denen dein Repository abhängt).
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.
-
Klicke im Abschnitt „Security“ der Seitenleiste auf „Code security“.
-
Klicke unter „Code security“ rechts neben dem Feature auf Disable oder Enable.
Aktivieren oder Deaktivieren von Sicherheits- und Analysefeatures für private Repositorys
Du kannst die Sicherheits- und Analysefeatures für dein privates oder internes -Repository verwalten. Wenn deine Unternehmen oder Organisation eine Lizenz für GitHub Advanced Security haben, stehen zusätzliche Optionen zur Verfügung. Weitere Informationen finden Sie unter Informationen zu GitHub Advanced Security.
Wenn du Sicherheits- und Analysefeatures aktivierst, führt GitHub eine schreibgeschützte Analyse für dein Repository aus.
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.
-
Klicke im Abschnitt „Security“ der Seitenleiste auf „Code security“.
-
Klicke unter „Code security“ rechts neben dem Feature auf Disable oder Enable. Das Steuerelement für „GitHub Advanced Security“ ist deaktiviert, wenn dein Unternehmen keine verfügbaren Lizenzen für Advanced Security besitzt.
Note
Wenn du GitHub Advanced Security deaktivierst, sind Abhängigkeitsüberprüfung, Warnungen zur Geheimnisüberprüfung für Benutzer*innen und code scanning deaktiviert. Alle Workflows, SARIF-Uploads oder API-Aufrufe für code scanning schlagen fehl. Wenn GitHub Advanced Security erneut aktiviert wird, kehrt code scanning in den vorherigen Zustand zurück.
Gewähren des Zugriffs auf Sicherheitswarnungen
GitHub-Sicherheitswarnungen sind automatisierte Benachrichtigungen, die dich informieren, wenn Sicherheitsrisiken in den Abhängigkeiten oder im Code deines Repositorys gefunden werden. Du wirst aufgefordert, diese Probleme zu überprüfen und zu beheben, damit dein Projekt sicher bleibt.
Du findest die Sicherheitswarnungen von Dependabot, Secret scanning und Code scanning auf der Registerkarte Security deines Repositorys.
Sicherheitswarnungen für ein Repository sind für Personen mit Schreib-, Verwaltungs- oder Administratorzugriff auf das Repository sichtbar und in Fällen, in denen das Repository einer Organisation oder Organisationsbesitzer*innen gehört. Du kannst zusätzlichen Teams und Personen Zugriff auf die Warnungen gewähren.
Note
Organisationsbesitzer und Repositoryadministratoren können nur Personen oder Teams mit Schreibzugriff auf das Repository Berechtigungen zum Anzeigen von Sicherheitswarnungen gewähren, z. B. Warnungen zur Geheimnisüberprüfung-Warnungen.
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.
-
Klicke im Abschnitt „Security“ der Seitenleiste auf „Code security“.
-
Beginne unter „Zugriff auf Warnungen“ im Suchfeld mit der Eingabe des Namens der Person oder des Teams, die du suchen möchtest, und klicke dann auf einen Namen in der Liste der Übereinstimmungen.
-
Klicke auf Änderungen speichern.
Zugriff auf Sicherheitsmeldungen entfernen
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.
-
Klicke im Abschnitt „Security“ der Seitenleiste auf „Code security“.
-
Klicke unter „Zugriff auf Warnungen“ rechts neben der Person oder dem Team, deren bzw. dessen Zugriff du entfernen möchtest, auf .
-
Klicke auf Änderungen speichern.
