Skip to main content

GitHub Sicherheitsfunktionen

Eine Übersicht über die Sicherheitsfeatures von GitHub.

Informationen zu GitHubSicherheitsmerkmalen

GitHubDie Sicherheitsfeatures helfen Ihnen, Ihren Code und geheime Schlüssel in Repositorys und in allen Organisationen sicher zu halten.

  • Einige Features sind für alle GitHub Pläne verfügbar.
  • Zusätzliche Features stehen Organisationen zur Verfügung, die ein GitHub Team- und GitHub Enterprise Cloud-Produkt GitHub Advanced Security erwerben:
  • Darüber hinaus kann eine Reihe von GitHub Secret Protection- und GitHub Code Security-Funktionen kostenlos in öffentlichen Repositories ausgeführt werden.

Für alle GitHub Pläne verfügbar

Die folgenden Sicherheitsfunktionen stehen Ihnen zur Verfügung, unabhängig davon, in welchem GitHub Plan Sie sich befinden. Sie müssen GitHub Secret Protection or GitHub Code Security nicht erwerben, um diese Funktionen zu nutzen.

Die meisten dieser Features sind für öffentliche und private Repositorys verfügbar. Einige Features sind nur für öffentliche Repositorys verfügbar.

Sicherheitsrichtlinie

Hiermit vereinfachst du es deinen Benutzer*innen, in deinem Repository gefundene Sicherheitsrisiken vertraulich zu melden. Weitere Informationen finden Sie unter Hinzufügen einer Sicherheitsrichtlinie für dein Repository.

Abhängigkeitsdiagramm

Mit dem Abhängigkeitsdiagramm kannst du die Ökosysteme und Pakete erkunden, von denen dein Repository abhängig ist, sowie die Repositorys und Pakete, die von deinem Repository abhängen.

Du findest das Abhängigkeitsdiagramm auf der Registerkarte Erkenntnisse des Repositorys. Weitere Informationen finden Sie unter Abhängigkeitsdiagramm.

Software-Stückliste (Software Bill of Materials, SBOM)

Sie können den Abhängigkeitsgraphen Ihres Repositorys als SPDX-kompatible Software-Stückliste (SBOM) exportieren. Weitere Informationen finden Sie unter Exportieren einer Software-Stückliste (Software Bill of Materials, SBOM) für dein Repository.

GitHub Advisory Database

Das GitHub Advisory Database enthält eine kuratierte Liste der Sicherheitsrisiken, die Sie anzeigen, suchen und filtern können. Weitere Informationen finden Sie unter Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database.

Dependabot alerts und Sicherheitsupdates

Du kannst Warnungen zu Abhängigkeiten mit bekannten Sicherheitsrisiken anzeigen, und entscheiden, ob Pull Requests automatisch generiert werden sollen, um diese Abhängigkeiten zu aktualisieren. Weitere Informationen findest du unter Dependabot-Warnungen und Dependabot-Sicherheitsupdates.

Sie können auch die standardmäßig von Dependabot auto-triage rules kuratierten GitHub verwenden, um automatisch eine große Anzahl an falsch-positiven Ergebnissen herauszufiltern.

Eine Übersicht über die verschiedenen Features Dependabot und Anweisungen zum Einstieg finden Sie unter Schnellstartanleitung für Dependabot.

Dependabot malware alerts

Auf GitHub.com und GitHub Enterprise Server 3.22+ können Sie Warnungen für böswillige Abhängigkeiten in Ihrem Repository anzeigen. Siehe Dependabot-Schadsoftwarewarnungen.

Dependabot version updates

Verwenden Sie Dependabot, um Pullanforderungen automatisch auszuheben und Ihre Abhängigkeiten auf dem neuesten Stand zu halten. Dadurch wird die Gefährdung von älteren Versionen durch Abhängigkeiten verringert. Die Verwendung neuerer Versionen erleichtert das Anwenden von Patches, wenn Sicherheitsrisiken erkannt werden, und erleichtert auch das Dependabot security updates erfolgreiche Auslösen von Pullanforderungen zum Upgrade anfälliger Abhängigkeiten. Sie können auch Dependabot version updates anpassen, um die Integration in Ihre Repositories zu optimieren. Weitere Informationen finden Sie unter Dependabot-Versionsaktualisierungen.

Sicherheitsempfehlungen

Besprechen und beheben Sie Sicherheitslücken im Code Ihres öffentlichen Repositorys vertraulich. Du kannst dann eine Sicherheitsempfehlung veröffentlichen, um deine Community über die Sicherheitslücke zu informieren und den Communitymitgliedern zu empfehlen, ein Upgrade durchzuführen. Weitere Informationen finden Sie unter Sicherheitsempfehlungen für Repositorys.

Repositoryregelsätze

Besprechen und beheben Sie Sicherheitslücken im Code Ihres öffentlichen Repositorys vertraulich. Weitere Informationen finden Sie unter Informationen zu Regelsätzen.

Nachweisartefakte

Schaffen Sie unwiderlegbare Herkunfts- und Integritätsgarantien für die von Ihnen entwickelte Software. Weitere Informationen finden Sie unter Verwenden von Artefaktnachweisen zur Ermittlung der Herkunft von Builds.

Hinweis

Wenn Sie sich auf einem GitHub Free, GitHub Pro, oder GitHub Team-Plan befinden, sind Artefaktenachweise nur für öffentliche Repositories verfügbar. Um Artefaktenachweise in privaten oder internen Repositories zu verwenden, müssen Sie sich in einem GitHub Enterprise Cloud-Plan befinden.

Warnungen zur Geheimnisüberprüfung für Partner

Wenn GitHub ein durchgesickertes Geheimnis in einem öffentlichen Repository oder in einem öffentlichen npm-Paket erkannt wird, informiert GitHub den relevanten Dienstanbieter, dass das Geheimnis kompromittiert werden könnte. Weitere Informationen zu den unterstützten Geheimnissen und Dienstanbietern finden Sie unter Unterstützte Scanmuster für Secrets.

Pushschutz für Benutzer

Push-Sicherheitsfunktion für Benutzer schützt Sie automatisch davor, Geheimnisse versehentlich in öffentliche Repositorys zu committen, unabhängig davon, ob die Funktion secret scanning für das Repository selbst aktiviert ist. Der Pushschutz für Benutzer ist standardmäßig aktiviert, Sie können das Feature jedoch jederzeit über Ihre persönlichen Kontoeinstellungen deaktivieren. Weitere Informationen finden Sie unter Verwalten des Pushschutzes für Benutzer.

Verfügbar mit GitHub Secret Protection

Bei Konten auf GitHub Team und GitHub Enterprise Cloud können Sie beim Kauf von GitHub Secret Protection auf zusätzliche Sicherheitsfunktionen zugreifen.

GitHub Secret Protection enthält Funktionen, mit denen Sie Leaks von Zugangsdaten und die Verbreitung von Geheimnissen erkennen und verhindern können, wie zum Beispiel secret scanning zum Erkennen fest im Code eingebetteter Zugangsdaten und einen Pushschutz zum Blockieren dieser Zugangsdaten, bevor sie ihr Repository erreichen.

Diese Features sind für alle Repositorytypen verfügbar. Einige dieser Features sind kostenlos für öffentliche Repositorys verfügbar, was bedeutet, dass Sie nicht kaufen GitHub Secret Protection müssen, um das Feature in einem öffentlichen Repository zu aktivieren.

Warnungen zur geheimen Überprüfung für Benutzer

Automatisch hardcodierte Anmeldeinformationen erkennen, die in ein Repository eingecheckt wurden. Sie können Warnungen für alle Secrets anzeigen, die GitHub in Ihrem Code findet, auf der Security and quality Registerkarte Ihres Repositorys. So können Sie schnell auf Credential-Leaks reagieren. Weitere Informationen finden Sie unter Geheimnisüberprüfung.

Standardmäßig für öffentliche Repositorys verfügbar

Von KI erkannte Geheimnisse

Von KI erkannte GeheimnisseDie generische Geheimniserkennung ist eine KI-gestützte Erweiterung von secret scanning, die unstrukturierte Geheimnisse (Kennwörter) in Ihrem Quellcode identifiziert und dann eine Warnung generiert. Weitere Informationen finden Sie unter Anwendungskarte: KI-Funktionen für Sicherheit und Qualität in GitHub.

Push-Schutz

Der Push-Schutz scannt proaktiv Ihren Code und den Code aller Repository-Mitwirkenden während des Push-Vorgangs auf fest codierte Geheimnisse und blockiert den Push, wenn dabei ein Leck von Anmeldeinformationen festgestellt wird. Wenn ein Mitwirkender den Block umgeht, wird eine Warnung generiert. Weitere Informationen finden Sie unter Pushschutz.

Standardmäßig für öffentliche Repositorys verfügbar

Delegierte Umgehung für den Push-Schutz

Mit delegierter Umgehung für den Pushschutz können Sie steuern, welche Personen, Rollen und Teams:

  • Kann den Pushschutz umgehen
  • Sind vom Push-Schutz ausgenommen
  • Kann Umgehungsanforderungen von anderen Mitwirkenden überprüfen

Weitere Informationen finden Sie unter Delegierte Umgehung für den Schutz von Push-Benachrichtigungen.

Angepasste Muster

Sie können benutzerdefinierte Muster definieren, um geheime Schlüssel zu identifizieren, die von den standardmäßig unterstützten Mustern nicht erkannt werden secret scanning, beispielsweise Muster, die intern in Ihrer Organisation verwendet werden. Weitere Informationen finden Sie unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.

Sicherheitsübersicht

Die Sicherheitsübersicht ermöglicht es Ihnen, die allgemeine Sicherheitslandschaft Ihrer Organisation zu überprüfen, Trends und andere Einblicke anzuzeigen und Sicherheitskonfigurationen zu verwalten, wodurch es einfach ist, den Sicherheitsstatus Ihrer Organisation zu überwachen und die Repositorys und Organisationen mit größtem Risiko zu identifizieren. Weitere Informationen finden Sie unter Sicherheitsübersicht.

Verfügbar mit GitHub Code Security

Bei Konten auf GitHub Team und GitHub Enterprise Cloud können Sie beim Kauf von GitHub Code Security auf zusätzliche Sicherheitsfunktionen zugreifen.

GitHub Code Security enthält Funktionen, die Ihnen helfen, Schwachstellen zu finden und zu beheben, wie code scanning, Premium-Dependabot-Funktionen und Abhängigkeitsüberprüfungen.

Diese Features sind für alle Repositorytypen verfügbar. Einige dieser Features sind kostenlos für öffentliche Repositorys verfügbar, was bedeutet, dass Sie nicht kaufen GitHub Code Security müssen, um das Feature in einem öffentlichen Repository zu aktivieren.

Code scanning

Hiermit kannst du Sicherheitsrisiken und Fehler in neuem oder geänderten Code automatisch erkennen. Mögliche Probleme werden hervorgehoben und mit detaillierten Informationen angezeigt, damit du den Code korrigieren kannst, bevor er mit dem Standardbranch zusammengeführt wird. Weitere Informationen finden Sie unter Code scanning.

Standardmäßig für öffentliche Repositorys verfügbar

CodeQL CLI

Führen Sie CodeQL Prozesse lokal für Softwareprojekte aus oder generieren Sie code scanning Ergebnisse für den Upload in GitHub. Weitere Informationen finden Sie unter CodeQL-Befehlszeilenschnittstelle.

Standardmäßig für öffentliche Repositorys verfügbar

Copilot Autofix

Erhalten Sie automatisch generierte Korrekturen für code scanning Warnungen. Weitere Informationen finden Sie unter Anwendungskarte: KI-Funktionen für Sicherheit und Qualität in GitHub.

Standardmäßig für öffentliche Repositorys verfügbar

Benutzerdefinierte Regeln für die automatische Triage für Dependabot

Wir helfen Ihnen, Ihr Dependabot alerts in großem Umfang zu verwalten. Mit Benutzerdefinierte Regeln für die automatische Triage haben Sie Kontrolle darüber, welche Warnungen Sie ignorieren, schlummern lassen oder für welche Sie ein Dependabot-Sicherheitsupdate auslösen möchten. Weitere Informationen findest du unter Dependabot-Warnungen und Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen.

Abhängigkeitsüberprüfung

Zeige die vollständigen Auswirkungen von Änderungen an Abhängigkeiten an, und sieh dir Details zu anfälligen Versionen an, bevor du einen Pull Request zusammenführst. Weitere Informationen finden Sie unter Abhängigkeitsüberprüfung.

Standardmäßig für öffentliche Repositorys verfügbar

Sicherheitskampagnen

Beheben Sie Sicherheitswarnungen in großem Umfang, indem Sie Sicherheitskampagnen erstellen und mit Entwicklern zusammenarbeiten, um Ihren Sicherheitsrückstand abzubauen. Weitere Informationen finden Sie unter Informationen zu Sicherheitskampagnen.

Sicherheitsübersicht

Die Sicherheitsübersicht ermöglicht es Ihnen, die allgemeine Sicherheitslandschaft Ihrer Organisation zu überprüfen, Trends und andere Einblicke anzuzeigen und Sicherheitskonfigurationen zu verwalten, wodurch es einfach ist, den Sicherheitsstatus Ihrer Organisation zu überwachen und die Repositorys und Organisationen mit größtem Risiko zu identifizieren. Weitere Informationen finden Sie unter Sicherheitsübersicht.

Weiterführende Themen