Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation

Du kannst Features steuern, die den Code in den Projekten deiner Organisation auf GitHub sichern und analysieren.

Wer kann dieses Feature verwenden?

Organization owners can manage security and analysis settings for repositories in the organization.

In diesem Artikel

Informationen zur Verwaltung von Sicherheits- und Analyseeinstellungen

GitHub kann Ihnen dabei helfen, die Repositorys in deiner Organisation zu schützen. Du kannst die Sicherheits- und Analysefeatures für alle vorhandenen oder neuen Repositorys verwalten, die Mitglieder in deiner Organisation erstellen. Organisationen, die GitHub Enterprise Cloud mit einer Lizenz für GitHub Advanced Security verwenden, können auch den Zugriff auf diese Features verwalten. Weitere Informationen findest du in der Dokumentation zu GitHub Enterprise Cloud.

Hinweis: Einige Sicherheits- und Analysefunktionen, die standardmäßig für öffentliche Repositorys aktiviert sind, lassen sich nicht deaktivieren.

Mit GitHub-recommended security configuration, einer Sammlung von Sicherheitseinstellungen, die Sie auf Repositorys in einer Organisation anwenden können, können Sie Sicherheitsfunktionen schnell in großem Umfang aktivieren. Mit GitHub Advanced Security können Sie dann weitere Features auf Organisationsebene mit global settings anpassen. Weitere Informationen finden Sie unter Informationen zum Aktivieren von Sicherheitsfeatures im großen Stil.

Hinweis: Container registry befindet sich für GitHub derzeit in der Betaphase und kann noch geändert werden.

Wenn du Sicherheits- und Analysefeatures aktivierst, führt GitHub eine schreibgeschützte Analyse für dein Repository aus.

Anzeigen der Sicherheits- und Analyseeinstellungen

  1. Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.

  2. Klicke neben der Organisation auf Einstellungen.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

    Note

    If your organization is enrolled in the security configurations and global settings public beta, instead of "Code security and analysis", you will see a Code security dropdown menu. You can manage your repository-level security settings with security configurations, and your organization-level security settings with global settings. See "Anwendung der von GitHub empfohlenen Sicherheitskonfiguration in Ihrer Organisation" and "Konfigurieren globaler Sicherheitseinstellungen für Ihre Organisation."

Auf der angezeigten Seite kannst du alle Sicherheits- und Analysefeatures für die Repositorys in deiner Organisation aktivieren oder deaktivieren.

Aktivieren oder Deaktivieren eines Features für alle vorhandenen Repositorys

Du kannst Features für alle Repositorys aktivieren oder deaktivieren. Die Auswirkungen deiner Änderungen auf Repositorys in deiner Organisation hängen von ihrer Sichtbarkeit ab:

  • Private Sicherheitsrisikoberichte: Deine Änderungen wirken sich nur auf öffentliche Repositorys aus.

  • Abhängigkeitsdiagramm: Deine Änderungen wirken sich nur auf private Repositorys aus, da das Feature für öffentliche Repositorys immer aktiviert ist.

  • Dependabot alerts: Deine Änderungen wirken sich auf alle Repositorys aus.

  • Dependabot security updates: Deine Änderungen wirken sich auf alle Repositorys aus.

  • Secret scanning : Deine Änderungen wirken sich auf öffentliche Repositorys und öffentliche npm-Pakete aus, von denen diese Repositorys u. U. abhängen. Diese Option steuert, ob Warnungen zur Geheimnisüberprüfung für Benutzer*innen aktiviert sind. Warnungen zur Geheimnisüberprüfung für Partner wird immer in öffentlichen Repositorys ausgeführt.

  • Code scanning : Deine Änderungen wirken sich auf öffentliche Repositorys. Weitere Informationen zu berechtigten Repositorys finden Sie unter „Konfigurieren des Standardsetups für das Codescanning im großen Stil“. Für Repositorys, die nicht für die Standardeinrichtung geeignet sind, kannst du das erweiterte Setup auf Repositoryebene konfigurieren. Weitere Informationen findest du unter Konfigurieren des erweiterten Setups für das Codescanning.

  1. Wechsle zu den Sicherheits- und Analyseeinstellungen für deine Organisation. Weitere Informationen findest du unter Anzeigen der Sicherheits- und Analyseeinstellungen.

  2. Klicke unter Codesicherheit und -analyse rechts neben dem Feature auf Alle deaktivieren oder Alle aktivieren, um ein Bestätigungsdialogfeld anzuzeigen.

  3. Überprüfe die Informationen im Dialogfeld.

  4. Wenn du optional private Sicherheitsrisikoberichte, ein Abhängigkeitsdiagramm oder Dependabot aktivierst, wähle Standardmäßig für neue private Repositorys aus.

    Screenshot des modalen Dialogfelds „FEATURE aktivieren“, in dem die Option „Standardmäßig für neue private Repositorys aktivieren“ mit einer dunkelorangefarbenen Kontur hervorgehoben ist.

  5. Wenn du bereit bist, die Änderungen durchzuführen, klicke auf FEATURE deaktivieren oder FEATURE aktivieren, um das Feature für alle Repositorys in deiner Organisation zu deaktivieren oder zu aktivieren.

  6. Wähle optional im Abschnitt der Sicherheits- und Analyseeinstellungen deines Features zusätzliche Aktivierungseinstellungen aus. Weitere Aktivierungseinstellungen können Folgendes umfassen:

    • Automatische Aktivierung für einen bestimmten Repositorytyp
    • Featurespezifische Einstellungen, z. B. die Empfehlung der erweiterten Abfragesuite für das code scanning-Standardsetup in deiner Organisation oder die automatische geheime Überprüfung für secret scanning

    Hinweise:

    • Hinweis: Wenn Sie die CodeQL code scanning für alle Repositorys deaktivieren, wird diese Änderung nicht in den Informationen zur Abdeckung in der Sicherheitsübersicht für die Organisation angezeigt. Die Repositorys werden in der Ansicht zur Sicherheitsabdeckung weiterhin mit aktivierter code scanning angezeigt.
    • Wenn die code scanning für alle berechtigten Repositorys in einer Organisation aktiviert wird, werden vorhandene Konfigurationen der code scanning nicht außer Kraft gesetzt. Informationen zum Konfigurieren der Standardeinrichtung mit unterschiedlichen Einstellungen für bestimmte Repositorys findest du unter Konfigurieren des Standardsetups für das Codescanning.

Wenn du ein oder mehrere Sicherheits- und Analysefeatures für vorhandene Repositorys aktivierst, werden alle Ergebnisse innerhalb von Minuten in GitHub angezeigt:

  • Alle vorhandenen Repositorys verfügen über die ausgewählte Konfiguration.
  • Neue Repositorys folgen der ausgewählten Konfiguration, wenn du das Kontrollkästchen für neue Repositorys aktiviert hast.
  • Wir verwenden die Berechtigungen zum Suchen nach Manifestdateien, um die relevanten Dienste anzuwenden.
  • Ist diese Option aktiviert, werden Abhängigkeitsinformationen im Abhängigkeitsdiagramm angezeigt.
  • Ist diese Option aktiviert, generiert GitHub Dependabot alerts für anfällige Abhängigkeiten oder Schadsoftware.
  • Ist diese Option aktiviert, erstellen Dependabot-Sicherheitsupdates Pull Requests, um anfällige Abhängigkeiten zu upgraden, wenn Dependabot alerts ausgelöst werden.

Automatisches Aktivieren oder Deaktivieren eines Features, wenn neue Repositorys hinzugefügt werden

  1. Wechsle zu den Sicherheits- und Analyseeinstellungen für deine Organisation. Weitere Informationen findest du unter Anzeigen der Sicherheits- und Analyseeinstellungen.
  2. Aktiviere oder deaktiviere das Feature unter „Codesicherheit und -analyse“ standardmäßig für neue Repositorys oder alle neuen privaten Repositorys in deiner Organisation.

Zulassen, dass Dependabot auf private -Abhängigkeiten zugreifen können

Dependabot kann nach veralteten Abhängigkeitsverweisen in einem Projekt suchen und automatisch ein Pull Request generieren, um sie zu aktualisieren. Dazu benötigt Dependabot Zugriff auf alle Zielabhängigkeitsdateien. Für gewöhnlich schlagen Versionsupdates fehl, wenn auf mindestens eine Abhängigkeit nicht zugegriffen werden kann. Weitere Informationen findest du unter Informationen zu Updates von Dependabot-Versionen.

Standardmäßig können Dependabot keine Abhängigkeiten aktualisieren, die sich in privaten Repositorys bzw. privaten Paketregistrierungen befinden. Wenn sich eine Abhängigkeit jedoch in einem privaten GitHub Repository innerhalb derselben Organisation befindet wie das Projekt, das diese Abhängigkeit verwendet, können Sie Dependabot erlauben, die Version erfolgreich zu aktualisieren, indem Sie Ihr Zugriff auf das Hostrepository gewähren.

Wenn Ihr Code von Paketen in einer privaten Registrierung abhängig ist, können Sie Dependabot erlauben, die Versionen dieser Abhängigkeiten durch Konfigurieren auf Repositoryebene zu aktualisieren. Füge dazu der Datei dependabot.yml Authentifizierungsdetails für das Repository hinzu. Weitere Informationen findest du unter Konfigurationsoptionen für die Datei dependabot.yml.

Um Dependabot zu erlauben, auf ein privates GitHub Repository zuzugreifen:

  1. Wechsle zu den Sicherheits- und Analyseeinstellungen für deine Organisation. Weitere Informationen findest du unter Anzeigen der Sicherheits- und Analyseeinstellungen.

  2. Klicken Sie unter „Dependabot Zugriff auf private Repositorys gewähren“ auf Private Repositorys hinzufügen, um ein Repositorysuchfeld anzuzeigen.

    Screenshot: Dropdownliste, mit der du nach Repositorys suchen kannst. Während der Eingabe werden Repositorys, deren Name deinen Suchkriterien entspricht, in der Liste angezeigt. Das Textfeld für die Suche ist dunkelorange umrandet.

  3. Gib den Namen des Repositorys ein, auf das du Dependabot Zugriff gewähren möchtest.

  4. Eine Liste der übereinstimmenden Repositorys in der Organisation wird angezeigt. Klicken Sie auf das Repository, auf das Sie den Zugriff zulassen möchtest. Damit wird das Repository der Liste zulässiger Repositorys hinzugefügt.

  5. Um ein Repository aus der Liste zu entfernen, kannst du auch rechts von dem Repository auf klicken.

Weiterführende Themen