Grundlegendes zu den Sicherheitsfeatures von GitHub
Die Sicherheitsfeatures von GitHub unterstützen dich dabei, deinen Code und deine Geheimnisse in Repositorys und Organisationen zu schützen.
- Einige Features sind für alle GitHub-Plänen verfügbar.
- Zusätzliche Features sind für Organisationen auf GitHub Team und GitHub Enterprise Cloud verfügbar, die ein GitHub Advanced Security-Produkt erwerben:
- Darüber hinaus können eine Reihe von GitHub Secret Protection- und GitHub Code Security-Features in öffentlichen Repositorys kostenlos ausgeführt werden.
Verfügbar für alle GitHub-Plänen
Die folgenden Sicherheitsfeatures sind unabhängig von deinem GitHub-Plan verfügbar. Du musst GitHub Secret Protection or GitHub Code Security nicht erwerben, um diese Features zu nutzen.
Die meisten dieser Features sind für öffentliche und private Repositorys verfügbar. Einige Features sind nur für öffentliche Repositorys verfügbar.
Sicherheitsrichtlinie
Hiermit vereinfachst du es deinen Benutzer*innen, in deinem Repository gefundene Sicherheitsrisiken vertraulich zu melden. Weitere Informationen finden Sie unter Hinzufügen einer Sicherheitsrichtlinie für dein Repository.
Abhängigkeitsdiagramm
Mit dem Abhängigkeitsdiagramm kannst du die Ökosysteme und Pakete erkunden, von denen dein Repository abhängig ist, sowie die Repositorys und Pakete, die von deinem Repository abhängen.
Du findest das Abhängigkeitsdiagramm auf der Registerkarte Erkenntnisse des Repositorys. Weitere Informationen finden Sie unter Informationen zum Abhängigkeitsdiagramm.
Software-Stückliste (Software Bill of Materials, SBOM)
Du kannst das Abhängigkeitsdiagramm deines Repositorys als SPDX-kompatible Softwarestückliste (Software Bill of Materials, SBOM) exportieren. Weitere Informationen finden Sie unter Exportieren einer Software-Stückliste (Software Bill of Materials, SBOM) für dein Repository.
GitHub Advisory Database
Die GitHub Advisory Database enthält eine kuratierte Liste von Sicherheitsrisiken, die du anzeigen, durchsuchen und filtern kannst. Weitere Informationen finden Sie unter Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database.
Dependabot alerts und Sicherheitsupdates
Du kannst Warnungen zu Abhängigkeiten mit bekannten Sicherheitsrisiken anzeigen, und entscheiden, ob Pull Requests automatisch generiert werden sollen, um diese Abhängigkeiten zu aktualisieren. Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen und Informationen zu Dependabot-Sicherheitsupdates.
Du kannst durch GitHub kuratierte Standard-Dependabot auto-triage rules verwenden, um eine erhebliche Menge falsch positiver Ergebnisse herauszufiltern.
Eine Übersicht über die verschiedenen Features von Dependabot und Anweisungen zu den ersten Schritten findest du unter Schnellstartanleitung für Dependabot.
Dependabot version updates
Verwende Dependabot zur automatisch Generierung von Pull Requests, um deine Abhängigkeiten auf dem neuesten Stand zu halten. Dadurch wird die Gefährdung von älteren Versionen durch Abhängigkeiten verringert. Die Verwendung neuer Versionen erleichtert das Anwenden von Patches, wenn Sicherheitsrisiken erkannt werden. Ebenfalls erleichtert es Dependabot security updates das erfolgreiche Generieren von Pull Requests zum Upgraden anfälliger Abhängigkeiten. Du kannst auch Dependabot version updates anpassen, um die Integration in deine Repositorys zu verbessern. Weitere Informationen finden Sie unter Informationen zu Updates von Dependabot-Versionen.
Sicherheitsempfehlungen
Erörtere Sicherheitsrisiken im Code deines öffentlichen Repositorys im privaten Rahmen, und behebe diese. Du kannst dann eine Sicherheitsempfehlung veröffentlichen, um deine Community über die Sicherheitslücke zu informieren und den Communitymitgliedern zu empfehlen, ein Upgrade durchzuführen. Weitere Informationen finden Sie unter Informationen zu Sicherheitsempfehlungen für Repositorys.
Repository-Regelsätze
Erzwinge konsistente Codestandards, Sicherheit und Compliance in allen Branches und Tags. Weitere Informationen finden Sie unter Informationen zu Regelsätzen.
Nachweisartefakte
Erstelle fälschungssichere Herkunfts- und Integritätsgarantien für deine Software. Weitere Informationen finden Sie unter Verwenden von Artefaktnachweisen zur Ermittlung der Herkunft von Builds.
Note
Wenn du über einen GitHub Free-, GitHub Pro- oder GitHub Team-Plan verfügst, sind Artefaktnachweise nur für öffentliche Repositorys verfügbar. Um Artefaktnachweise in privaten oder internen Repositorys zu verwenden, musst du über einen GitHub Enterprise Cloud-Plan verfügen.
Warnungen zur Geheimnisüberprüfung für Partner
Wenn GitHub in einem öffentlichen Repository ein kompromittiertes Geheimnis oder ein öffentliches npm-Paket erkennt, informiert GitHub den relevanten Dienstanbieter, dass das Geheimnis möglicherweise gefährdet ist. Weitere Informationen zu den unterstützten Geheimnissen und Dienstanbietern findest du unter Unterstützte Scanmuster für geheime Schlüssel.
Pushschutz für Benutzer
Der Pushschutz für Benutzer schützt Sie automatisch davor, Geheimnisse versehentlich in öffentliche Repositorys zu committen, unabhängig davon, ob für das Repository selbst secret scanning aktiviert ist. Der Pushschutz für Benutzer ist standardmäßig aktiviert. Sie können das Feature jedoch jederzeit über Ihre persönlichen Kontoeinstellungen deaktivieren. Weitere Informationen finden Sie unter Pushschutz für Benutzer.
Verfügbar mit GitHub Secret Protection
Bei Konten mit GitHub Team und GitHub Enterprise Cloud kannst du auf zusätzliche Features zugreifen, wenn du GitHub Secret Protection erwirbst.
GitHub Secret Protection enthält Features wie secret scanning und Pushschutz, mit denen du Geheimnislecks erkennen und verhindern kannst.
Diese Features sind für alle Repositorytypen verfügbar. Einige dieser Features sind für öffentliche Repositorys kostenlos verfügbar. Daher musst du GitHub Secret Protection nicht erwerben, um das Feature in einem öffentlichen Repository zu aktivieren.
Warnungen zur Geheimnisüberprüfung für Benutzer*innen
Hiermit werden Token oder Anmeldeinformationen, die in ein Repository eingecheckt wurden, automatisch erkannt. Du kannst auf der Registerkarte Security des Repositorys Warnungen für alle Geheimnisse anzeigen, die GitHub in deinem Code erkennt, damit du weißt, welche Token oder Anmeldeinformationen als kompromittiert behandelt werden müssen. Weitere Informationen finden Sie unter Informationen zu Warnungen zur Geheimnisüberprüfung.
Standardmäßig für öffentliche Repositorys verfügbar
Copilot Geheimnisüberprüfung
Bei der generischen Geheimniserkennung von Copilot Geheimnisüberprüfung handelt es sich um eine KI-gestützte Erweiterung von secret scanning, die nicht strukturierte Geheimnisse (Kennwörter) in deinem Quellcode identifiziert und anschließend eine Warnung generiert. Weitere Informationen finden Sie unter Verantwortungsvolle Erkennung generischer Geheimnisse mit Copilot Geheimnisüberprüfung.
Pushschutz
Der Pushschutz überprüft deinen Code und den Code aller repositorymitwirkenden Personen während des Pushprozesses proaktiv auf Geheimnisse und blockiert den Push, wenn Geheimnisse erkannt werden. Wenn eine mitwirkende Person den Block umgeht, erstellt GitHub eine Warnung. Weitere Informationen finden Sie unter Informationen zum Pushschutz.
Standardmäßig für öffentliche Repositorys verfügbar
Delegierte Umgehung für den Pushschutz
Mit der delegierten Umgehung für Pushschutz kannst du steuern, welche Personen, Rollen und Teams den Pushschutz umgehen können, und einen Review- und Genehmigungszyklus für Pushes mit Geheimnissen implementiert. Weitere Informationen finden Sie unter Info zur delegierten Umgehung für den Pushschutz.
Benutzerdefinierte Muster
Du kannst benutzerdefinierte Muster definieren, um Geheimnisse zu identifizieren, die nicht von den Standardmustern wie interne Muster in deiner Organisation erkannt werden, die von secret scanning unterstützt werden. Weitere Informationen finden Sie unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.
Sicherheitsübersicht
Die Sicherheitsübersicht ermöglicht es Ihnen, die allgemeine Sicherheitslandschaft Ihrer Organisation zu überprüfen, Trends und andere Einblicke anzuzeigen und Sicherheitskonfigurationen zu verwalten, wodurch es einfach ist, den Sicherheitsstatus Ihrer Organisation zu überwachen und die Repositorys und Organisationen mit größtem Risiko zu identifizieren. Weitere Informationen finden Sie unter Informationen zur Sicherheitsübersicht.
Verfügbar mit GitHub Code Security
Bei Konten mit GitHub Team und GitHub Enterprise Cloud kannst du auf zusätzliche Features zugreifen, wenn du GitHub Code Security erwirbst.
GitHub Code Security schließt Features wie code scanning-, Premium-Dependabot-Features und die Abhängigkeitsüberprüfung ein, mit denen du Sicherheitsrisiken finden und beheben können.
Diese Features sind für alle Repositorytypen verfügbar. Einige dieser Features sind für öffentliche Repositorys kostenlos verfügbar. Daher musst du GitHub Code Security nicht erwerben, um das Feature in einem öffentlichen Repository zu aktivieren.
Code scanning
Hiermit kannst du Sicherheitsrisiken und Fehler in neuem oder geänderten Code automatisch erkennen. Mögliche Probleme werden hervorgehoben und mit detaillierten Informationen angezeigt, damit du den Code korrigieren kannst, bevor er mit dem Standardbranch zusammengeführt wird. Weitere Informationen finden Sie unter Informationen zu Codescans.
Standardmäßig für öffentliche Repositorys verfügbar
CodeQL CLI
Führe CodeQL lokal in Softwareprojekten aus, oder generieren code scanning-Ergebnisse für den Upload auf GitHub. Weitere Informationen finden Sie unter Informationen zur CodeQL-CLI.
Standardmäßig für öffentliche Repositorys verfügbar
Copilot Autofix
Rufe automatisch generierte Fixes für code scanning-Warnungen ab. Weitere Informationen finden Sie unter Verantwortungsvolle Verwendung von Copilot Autofix für die Codeüberprüfung.
Standardmäßig für öffentliche Repositorys verfügbar
Benutzerdefinierte Regeln für die automatische Triage für Dependabot
Hilfe beim Verwalten Ihrer Dependabot alerts im großen Stil. Mit Benutzerdefinierte Regeln für die automatische Triage haben Sie die Kontrolle über die Warnungen, die Sie ignorieren wollen, auf Standby setzen wollen oder für die Sie ein Dependabot-Sicherheitsupdate auslösen wollen. Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen und Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen.
Abhängigkeitsüberprüfung
Zeige die vollständigen Auswirkungen von Änderungen an Abhängigkeiten an, und sieh dir Details zu anfälligen Versionen an, bevor du einen Pull Request zusammenführst. Weitere Informationen finden Sie unter Informationen zur Abhängigkeitsüberprüfung.
Standardmäßig für öffentliche Repositorys verfügbar
Sicherheitskampagnen
Behebe Sicherheitswarnungen im großen Stil, indem du Sicherheitskampagnen erstellst und mit Entwickelnden zusammenarbeitest, um deine Sicherheitsrücklauf zu reduzieren. Weitere Informationen finden Sie unter Informationen zu Sicherheitskampagnen.
Sicherheitsübersicht
Die Sicherheitsübersicht ermöglicht es Ihnen, die allgemeine Sicherheitslandschaft Ihrer Organisation zu überprüfen, Trends und andere Einblicke anzuzeigen und Sicherheitskonfigurationen zu verwalten, wodurch es einfach ist, den Sicherheitsstatus Ihrer Organisation zu überwachen und die Repositorys und Organisationen mit größtem Risiko zu identifizieren. Weitere Informationen finden Sie unter Informationen zur Sicherheitsübersicht.