Verwalten des Zugriffs auf GitHub Advanced Security

  • 5 Minuten

In der vorherigen Einheit haben Sie erfahren, wie Sie GitHub Advanced Security gemäß Ihrem Unternehmensplan aktivieren.

Diese Lektion führt Sie durch die Konfiguration von GitHub Advanced Security für ein Projekt. Es wird erläutert, wie Der Zugriff auf Sicherheitswarnungen verwaltet und Sicherheitsrichtlinien auf Organisation und Repositoryebene eingerichtet werden.

Verwalten des Zugriffs auf Sicherheitswarnungen

Beim Einrichten von GitHub Advanced Security für ein Projekt möchten Sie sicherstellen, dass die richtigen Personen in Ihrer Organisation alle Warnungen anzeigen und auflösen können. Die Rollen und Berechtigungen, die zum Anzeigen dieser Warnungen erforderlich sind, hängen vom Typ der Warnung ab.

In dieser Tabelle sind die Mindestrollen und Berechtigungen aufgeführt, die zum Anzeigen der einzelnen Warnungstypen auf der Registerkarte " Sicherheit " des Repositorys erforderlich sind:

Typ der Sicherheitswarnung Erforderliche Rollen und Berechtigungen
Code-Scan-Warnungen Schreibberechtigung für Repository
Geheimnisüberprüfungswarnungen Repositoryadministratoren und Organisationsbesitzer
Dependabot-Warnungen Repositoryadministratoren und Organisationsbesitzer

Darüber hinaus können Repositoryadministratoren und Organisationsbesitzer Benutzern und Teams mit Schreibberechtigung für ihre Repositorys in den Repositoryeinstellungen Sicherheit und Analyse Zugriff auf Geheimnisscans und Dependabot-Warnungen gewähren.

Mit dem richtigen Satz von Rollen und Berechtigungen können die Entwickler, die an Ihrem Sicherheitsworkflow beteiligt sind, die folgenden Aktionen ausführen:

  • Für Codescan-Warnungen: Korrekturen im Code übernehmen, Warnungen ignorieren, die keine Aktion erfordern, oder Warnungen löschen, um Codescan-Ergebnisse zu bereinigen.
  • Für geheime Überprüfungswarnungen: Löschen von erkannten geheimen Schlüsseln, Erstellen neuer Token und Aktualisieren von Code, der die erkannten geheimen Schlüssel verwendet, oder Schließen von Warnungen, die keine Aktion erfordern.
  • Für Dependabot-Warnungen: Aktualisieren Sie anfällige Abhängigkeiten, oder schließen Sie Warnungen, die keine Aktion erfordern.

Festlegen einer Sicherheitsrichtlinie auf Organisationsebene

Eine gute Möglichkeit, um sicherzustellen, dass jeder in Ihrer Organisation GitHub Advanced Security verwendet, besteht darin, eine Sicherheitsrichtlinie auf Organisationsebene einzurichten. Sie können beispielsweise eine Richtlinie festlegen, mit der alle Repositoryadministratoren in Ihrer Organisation Features für advanced Security für ihre Repositorys aktivieren können.

Richtlinien können für alle Organisationen konfiguriert werden, die sich im Besitz Ihres Unternehmenskontos befinden, oder für einzelne Organisationen, die Sie auswählen.

Führen Sie die folgenden Schritte aus, um eine Sicherheitsrichtlinie auf Organisationsebene einzurichten:

  1. Navigieren Sie in ihrer Unternehmens-Randleiste zu "Richtlinien > für erweiterte Sicherheit".

  2. Wählen Sie unter GitHub Advanced Security das Dropdownmenü aus, und wählen Sie eine Richtlinie für die Organisationen aus, die ihrem Unternehmen gehören.

    Screenshot der Dropdownliste

  3. Wenn Sie optional "Zulassen" für ausgewählte Organisationen rechts neben einer Organisation ausgewählt haben, wählen Sie das Dropdownmenü aus, um erweiterte Sicherheit für die Organisation zuzulassen oder zu verbieten. Das Verweigern von Erweiterte Sicherheit für eine Organisation verhindert, dass Repositoryadministratoren erweiterte Sicherheitsfunktionen für andere Repositorys aktivieren, aber es deaktiviert nicht die Funktionen für Repositorys, in denen die Funktionen bereits aktiviert sind.

    Screenshot der Dropdownliste für einzelne Sicherheitsrichtlinien der Organisation.

Hinweis

Beachten Sie, dass GitHub bei der Festlegung einer Richtlinie auf Organisationsebene Advanced Security pro Committer in Rechnung stellt.

Festlegen einer Sicherheitsrichtlinie auf Repositoryebene

Ebenso wichtig beim Einrichten eines GitHub-Projekts ist es, zu dokumentieren, wie Sicherheitsrisiken für das Projekt angezeigt werden. Dazu können Sie dem Stammverzeichnis, SECURITY.md, oder docs Ordner des Projekt-Repository eine .github Datei hinzufügen. Wenn dann jemand ein Problem in einem Repository erstellt, wird ein Link zur Sicherheitsrichtlinie Ihres Projekts angezeigt.

Nachdem jemand eine Sicherheitslücke in Ihrem Projekt gemeldet hat, können Sie GitHub Security Advisories verwenden, um Informationen über die Sicherheitsanfälligkeit offenzulegen, zu beheben und zu veröffentlichen.

Führen Sie die folgenden Schritte aus, um eine Sicherheitsrichtlinie auf Repositoryebene einzurichten:

  1. Navigieren Sie in Ihrem Repository zu Sicherheit > Sicherheitsrichtlinie.
  2. Wählen Sie "Setup starten" aus.
  3. Fügen Sie in der neuen SECURITY.md-Datei Informationen zu unterstützten Versionen Ihres Projekts sowie zur Art und Weise der Meldung von Sicherheitsrisiken hinzu.
  4. Führen Sie einen Commit für die Änderungen im Repository aus.