Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Die aktuellsten Informationen findest du in der englischen Dokumentation.
 

 

Repository schützen

Inhalt dieses Artikels

Dir stehen einige GitHub-Features zur Verfügung, um dein Repository zu schützen.

Who can use this feature

Repository administrators and organization owners can configure repository security settings.

Einführung

In diesem Leitfaden erfährst du, wie du Sicherheitsfunktionen für ein Repository konfigurierst. Du musst Repository-Administrator oder Organisationsbesitzer sein, um Sicherheitseinstellungen für ein Repository zu konfigurieren.

Deine Sicherheitsbedürfnisse sind für dein Repository individuell, daher musst du vielleicht nicht jedes Feature für dein Repository aktivieren. Weitere Informationen findest du unter GitHub-Sicherheitsfeatures.

Einige Features sind für Repositorys in allen Plänen verfügbar. Zusätzliche Features stehen Unternehmen zur Verfügung, die GitHub Advanced Security verwenden. GitHub Advanced Security-Features (außer der Sicherheitsübersicht) sind für alle öffentlichen Repositorys auf GitHub.com aktiviert. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Verwalten des Zugriffs auf dein Repository

Der erste Schritt zur Sicherung eines Repositorys besteht darin, festzulegen, wer deinen Code sehen und ändern darf. Weitere Informationen findest du unter Verwalten von Repositoryeinstellungen.

Klicke auf der Hauptseite deines Repositorys auf -Einstellungen und scrolle dann nach unten zur "Gefahrenzone."

Festlegen einer Sicherheitsrichtlinie

  1. Klicke unter deinem Repositorynamen auf -Sicherheit.
  2. Klicke auf Sicherheitsrichtlinie.
  3. Klicke auf Start setup (Setup starten).
  4. Füge Informationen über unterstützte Versionen deines Projekts hinzu und wie du Sicherheitsrisiken melden kannst.

Weitere Informationen findest du unter Hinzufügen einer Sicherheitsrichtlinie zu deinem Repository.

Verwalten des Abhängigkeitsdiagramms

Der Abhängigkeitsgraph wird automatisch für alle öffentlichen Repositorys erstellt, und du kannst ihn auch für private Repositorys aktivieren. Es interpretiert Manifest- und Sperrdateien in einem Repository, um Abhängigkeiten zu identifizieren.

  1. Klicke auf der Hauptseite deines Repositorys auf -Einstellungen.
  2. Klicke auf Security & Analysis (Sicherheit und Analyse).
  3. Klicke neben dem Abhängigkeitsdiagramm auf Aktivieren oder Deaktivieren.

Weitere Informationen findest du unter Untersuchen der Abhängigkeiten eines Repositorys.

Verwalten von Dependabot alerts

Dependabot alerts werden generiert, wenn GitHub eine Abhängigkeit im Abhängigkeitsdiagramm mit einem Sicherheitsrisiko identifiziert. Du kannst Dependabot alerts für jedes Repository aktivieren.

  1. Klicke auf dein Profilfoto und dann auf Einstellung.
  2. Klicke auf Security & Analysis (Sicherheit und Analyse).
  3. Klicke auf Alle aktivieren neben Dependabot alerts.

Weitere Informationen findest du unter "Informationen zu Dependabot alerts" und "Verwalten von Sicherheits- und Analyseeinstellungen für dein persönliches Konto."

Verwalten der Abhängigkeitsüberprüfung

Mit der Abhängigkeitsüberprüfung kannst du Abhängigkeitsänderungen in Pull-Anforderungen visualisieren, bevor sie in deine Repositorys zusammengeführt werden. Weitere Informationen findest du unter Informationen zur Abhängigkeitsprüfung.

Die Abhängigkeitsüberprüfung ist ein GitHub Advanced Security-Feature. Die Abhängigkeitsüberprüfung ist bereits für alle öffentlichen Repositorys aktiviert. Organisationen, die GitHub Enterprise Cloud mit Advanced Security verwenden, können zusätzlich die Abhängigkeitsüberprüfung für private und interne Repositorys aktivieren. Weitere Informationen findest du in der Dokumentation zu GitHub Enterprise Cloud.

Verwalten von Dependabot security updates

Für jedes Repository, für das Dependabot alerts verwendet werden, kannst du Dependabot security updates aktivieren, um Pull Requests mit Sicherheitsupdates auszulösen, wenn Sicherheitsrisiken erkannt werden.

  1. Klicke auf der Hauptseite deines Repositorys auf Einstellungen.
  2. Klicke auf Security & Analysis (Sicherheit und Analyse).
  3. Klicke neben Dependabot security updates auf Aktivieren.

Weitere Informationen findest du unter " Informationen zu Dependabot security updates " und " Konfigurieren von Dependabot security updates ."

Verwalten von Dependabot version updates

Du kannst Dependabot zur automatisch Generierung von Pull Requests aktivieren, um deine Abhängigkeiten auf dem neuesten Stand zu halten. Weitere Informationen findest du unter Informationen zu Dependabot version updates.

  1. Klicke auf der Hauptseite deines Repositorys auf -Einstellungen.
  2. Klicke auf Security & Analysis (Sicherheit und Analyse).
  3. Klicke neben Dependabot version updates auf Aktivieren, um eine einfache dependabot.yml-Konfigurationsdatei zu erstellen.
  4. Gib die Abhängigkeiten an, um die Datei zu aktualisieren und in das Repository zu committen. Weitere Informationen findest du unter Konfigurieren von Dependabot-Versionsupdates.

Konfigurieren von code scanning

Du kannst code scanning einrichten, um mit einem CodeQL analysis workflow oder einem Tool eines Drittanbieters automatisch Sicherheitsrisiken und Fehler in dem in deinem Repository gespeicherten Code zu identifizieren. Weitere Informationen findest du unter Einrichten von code scanning für ein Repository.

Code scanning ist für alle öffentlichen Repositorys und für private Repositorys im Besitz von Organisationen verfügbar, die Teil eines Unternehmens mit einer Lizenz für GitHub Advanced Security verwendet.

Konfigurieren von secret scanning

Secret scanning ist für alle öffentlichen Repositorys aktiviert und für private Repositorys verfügbar, die Organisationen gehören, die Teil eines Unternehmens mit einer Lizenz für GitHub Advanced Security verwendet. Weitere Informationen findest du in der Dokumentation GitHub Enterprise Cloud.

Nächste Schritte

Du kannst Warnungen von Sicherheitsfeatures anzeigen und verwalten, um Abhängigkeiten und Sicherheitsrisiken in deinem Code zu bearbeiten. Weitere Informationen findest du unter Anzeigen und Aktualisieren von Dependabot alerts, Verwalten von Pull Requests für Abhängigkeitsupdates, Verwalten von code scanning für dein Repository und Verwalten von Warnungen der secret scanning.

Wenn ein Sicherheitsrisiko besteht, kannst du eine Sicherheitsempfehlung erstellen, um das Sicherheitsrisiko privat zu besprechen und zu beheben. Weitere Informationen findest du unter Informationen zu Sicherheitsempfehlungen für Repositorys und Einen Sicherheitshinweis erstellen.