Informationen zu den Sicherheitsfeatures von GitHub
GitHub bietet Sicherheitsfeatures, mit denen Code und Geheimnisse in Repositorys und verschiedenen Organisationen geschützt werden können. Einige Features sind für Repositorys in allen Plänen verfügbar. Zusätzliche Features stehen Unternehmen zur Verfügung, die GitHub Advanced Security verwenden. GitHub Advanced Security-Features (außer der Sicherheitsübersicht) sind für alle öffentlichen Repositorys auf GitHub.com aktiviert. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.
Die GitHub Advisory Database enthält eine kuratierte Liste von Sicherheitsrisiken, die du anzeigen, durchsuchen und filtern kannst. Weitere Informationen findest du unter Durchsuchen von Sicherheitsempfehlungen in GitHub Advisory Database.
Verfügbar für alle Repositorys
Sicherheitsrichtlinie
Hiermit vereinfachst du es deinen Benutzer*innen, in deinem Repository gefundene Sicherheitsrisiken vertraulich zu melden. Weitere Informationen findest du unter Hinzufügen einer Sicherheitsrichtlinie zu deinem Repository.
Sicherheitsempfehlungen
Erörtere und behebe Sicherheitsrisiken im Code deines Repositorys auf private Weise. Du kannst dann eine Sicherheitsempfehlung veröffentlichen, um deine Community über die Sicherheitslücke zu informieren und den Communitymitgliedern zu empfehlen, ein Upgrade durchzuführen. Weitere Informationen findest du unter Informationen zu GitHub Security Advisories.
Dependabot alerts und Sicherheitsupdates
Du kannst Warnungen zu Abhängigkeiten mit bekannten Sicherheitsrisiken anzeigen, und entscheiden, ob Pull Requests automatisch generiert werden sollen, um diese Abhängigkeiten zu aktualisieren. Weitere Informationen findest du unter Informationen zu Dependabot alerts und Informationen zu Dependabot security updates.
Versionsupdates für Dependabot
Verwende Dependabot zur automatisch Generierung von Pull Requests, um deine Abhängigkeiten auf dem neuesten Stand zu halten. Dadurch wird die Gefährdung von älteren Versionen durch Abhängigkeiten verringert. Die Verwendung neuer Versionen erleichtert das Anwenden von Patches, wenn Sicherheitsrisiken erkannt werden. Ebenfalls erleichtert es Dependabot security updates das erfolgreiche Generieren von Pull Requests zum Upgraden anfälliger Abhängigkeiten. Weitere Informationen findest du unter Informationen zu Dependabot version updates.
Abhängigkeitsdiagramm
Mit dem Abhängigkeitsdiagramm kannst du die Ökosysteme und Pakete erkunden, von denen dein Repository abhängig ist, sowie die Repositorys und Pakete, die von deinem Repository abhängen.
Du findest das Abhängigkeitsdiagramm auf der Registerkarte Erkenntnisse des Repositorys. Weitere Informationen findest du unter Informationen zum Abhängigkeitsdiagramm.
Sicherheitsübersicht für Repositorys
Die Sicherheitsübersicht zeigt, welche Sicherheitsfeatures für das Repository aktiviert sind, und bietet die Möglichkeit, alle verfügbaren Sicherheitsfeatures zu konfigurieren, die derzeit nicht aktiviert sind.
Verfügbar mit GitHub Advanced Security
Die folgenden GitHub Advanced Security-Features sind auf GitHub.com für öffentliche Repositorys kostenlos verfügbar. Organisationen, die GitHub Enterprise Cloud mit einer Lizenz für GitHub Advanced Security nutzen, können den vollen Funktionsumfang in jedem ihrer Repositorys verwenden. Eine Liste der Features, die mit GitHub Enterprise Cloud verfügbar sind, findest du unter Dokumentation zu GitHub Enterprise Cloud.
Code scanning
Hiermit kannst du Sicherheitsrisiken und Fehler in neuem oder geänderten Code automatisch erkennen. Mögliche Probleme werden hervorgehoben und mit detaillierten Informationen angezeigt, damit du den Code korrigieren kannst, bevor er mit dem Standardbranch zusammengeführt wird. Weitere Informationen findest du unter Informationen zu Codeüberprüfungen.
Dieses Feature erkennt automatisch kompromittierte Geheimnisse in allen öffentlichen Repositorys. GitHub informiert den entsprechenden Dienstanbieter darüber, dass das Geheimnis kompromittiert wurde. Weitere Details zu unterstützten Geheimnissen und Dienstanbietern findest du unter Secret scanning-Muster.
Abhängigkeitsüberprüfung
Zeige die vollständigen Auswirkungen von Änderungen an Abhängigkeiten an, und sieh dir Details zu anfälligen Versionen an, bevor du einen Pull Request zusammenführst. Weitere Informationen findest du unter Informationen zur Abhängigkeitsprüfung.