Hinweis
Wenn Dependabot alerts auf Unternehmensebene aktiviert oder deaktiviert werden, überschreibt dies die Einstellungen auf Repositoryebene für Dependabot alerts. Weitere Informationen finden Sie unter Konfigurieren von Dependabot-Warnungen.
Informationen zu Sicherheits- und Analyseeinstellungen für dein Repository
GitHub bietet eine Reihe verschiedener Sicherheitsfeatures, die Sie für Ihr Repository aktivieren können, um Ihren Code vor Sicherheitsrisiken, unbefugtem Zugriff und anderen potenziellen Sicherheitsbedrohungen zu schützen.
Viele dieser Features sind **kostenlos für öffentliche Repositorys** verfügbar.
Aktivieren oder Deaktivieren von Sicherheits- und Analysefeatures für öffentliche Repositorys
Du kannst eine Teilmenge von Sicherheits- und Analysefeatures für öffentliche Repositorys verwalten.
Du solltest mindestens Folgendes für dein öffentliches Repository aktivieren:
Dependabot alerts
** Benachrichtigen Sie über Sicherheitsrisiken im Abhängigkeitsnetzwerk Ihres Projekts, damit Sie die betroffene Abhängigkeit auf eine sicherere Version aktualisieren können.
Secret scanning
** scannt Ihr Repository auf geheime Schlüssel (z. B. API-Schlüssel und Token) und benachrichtigt Sie, wenn ein geheimer Schlüssel gefunden wird, damit Sie den geheimen Schlüssel aus Ihrem Repository entfernen können.
- Mit dem Pushschutz wird in erster Linie verhindert, dass du (und deine Projektmitarbeitenden) Geheimnisse in das Repository einfügen, indem Pushs blockiert werden, die unterstützte Geheimnisse enthalten.
Code scanning
** identifiziert Sicherheitsrisiken und Fehler im Code Ihres Repositorys, damit Sie diese Probleme frühzeitig beheben und verhindern können, dass eine Sicherheitsanfälligkeit oder ein Fehler von böswilligen Akteuren ausgenutzt wird.
Andere Features sind für öffentliche Repositorys dauerhaft aktiviert (z. B. das Abhängigkeitsdiagramm, das dir alle Bibliotheken und Pakete anzeigt, von denen dein Repository abhängt).
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.
-
Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.
-
Klicken Sie unter "Advanced Security" rechts neben dem Feature auf "Deaktivieren " oder "Aktivieren".
Aktivieren oder Deaktivieren von Sicherheits- und Analysefeatures für private Repositories
Sie können die Sicherheits- und Analysefeatures für Ihr privates oder internes Repository verwalten. Wenn Ihr Unternehmen oder Ihre Organisation über eine Lizenz verfügt GitHub Code Security oderGitHub Secret Protection , stehen zusätzliche Optionen zur Verfügung. Weitere Informationen finden Sie unter Informationen zu GitHub Advanced Security.
Wenn du Sicherheits- und Analysefeatures aktivierst, führt GitHub eine schreibgeschützte Analyse für dein Repository aus.
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.
-
Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.
-
Klicken Sie unter "Advanced Security" rechts neben dem Feature auf "Deaktivieren " oder "Aktivieren". Das Steuerelement für "Secret Protection and Code Security" ist deaktiviert, wenn Ihre Unternehmen Lizenzen nicht verfügbar sind.
Hinweis
Wenn Sie Secret Protection and Code Security deaktivieren, sind die Abhängigkeitsüberprüfung, Warnungen zur geheimen Codesuche für Benutzer und code scanning deaktiviert. Alle Workflows, API-Aufrufe oder SARIF-Uploads für code scanning werden fehlschlagen. Wenn Code Security wieder aktiviert wird, kehrt code scanning in seinen vorherigen Zustand zurück.
Gewähren des Zugriffs auf Sicherheitswarnungen
GitHub Sicherheitswarnungen sind automatisierte Benachrichtigungen, die Sie informieren, wenn Sicherheitsrisiken in den Abhängigkeiten oder Code Ihres Repositorys gefunden werden. Du wirst aufgefordert, diese Probleme zu überprüfen und zu beheben, damit dein Projekt sicher bleibt.
Sie finden Sicherheitswarnungen von Dependabot, Secret scanningund Code scanning unter der Registerkarte Ihres Repositorys Security and quality .
Sicherheitswarnungen für ein Repository sind für Personen mit Schreib-, Verwaltungs- oder Administratorzugriff auf das Repository sichtbar und in Fällen, in denen das Repository einer Organisation oder Organisationsbesitzer*innen gehört. Du kannst zusätzlichen Teams und Personen Zugriff auf die Warnungen gewähren.
Hinweis
Organisationsbesitzer und Repository-Administratoren können nur Personen oder Teams, die Schreibzugriff auf das Repository haben, den Zugriff zur Anzeige von Sicherheitswarnungen wie Warnungen zur Geheimnisüberprüfung gewähren.
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.
-
Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.
-
Beginne unter „Zugriff auf Warnungen“ im Suchfeld mit der Eingabe des Namens der Person oder des Teams, die du suchen möchtest, und klicke dann auf einen Namen in der Liste der Übereinstimmungen.
-
Klicke auf Änderungen speichern.
Zugriff auf Sicherheitsmeldungen entfernen
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.
-
Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.
-
Klicken Sie unter "Zugriff auf Benachrichtigungen" rechts neben der Person oder dem Team, deren Zugriff Sie entfernen möchten, auf .
-
Klicke auf Änderungen speichern.
