Wir alle spielen eine Rolle bei der sicheren Entwicklung von Code - Developer, Maintainer, Forscher und Sicherheitsteams. Auf GitHub arbeiten Teams zusammen, um die Softwarentwicklung bei jedem Schritt sicher zu gestalten.
Bereit, um über die Advanced Security Features für GitHub Enterprise zu sprechen?
Sales kontaktierenVom ersten Tag an sichereren Code mit End-to-End Security schreiben: GitHub hilft, Schwachstellen früher zu beheben und sichere Anwendungen zu liefern.
Sicheren Code entwickeln und Innovation vorantreiben: Automatisiertes Codescanning prüft deine Software noch während du sie baust.
Während sich "Fuzzing", die manuelle Überprüfung von Code, für die Suche nach spezifischen Schwachstellen anbietet, ist es keine ideale Methode um die gesamte Codebasis abzudecken. CodeQL behandelt Code wie Datensätze und kodiert Schwachstellen als Abfragen oder Queries. Dadurch ist es möglich, jede Instanz eines Fehlers in einer Codebasis, einem Portfolio oder dem gesamten Open-Source-Software-Ökosystem zu finden.
CodeQL beinhaltet Tausende von Queries, die von GitHub und führenden Experten entwickelt wurden. Code-Scanning-Abfragen sind open source und ermöglichen es Entwicklern, Maintainern und Sicherheitsteams auf bestehenden Anfragen aufzubauen oder eigene zu entwickeln.
Open Source ist das Fundament globaler Software. GitHub stellt die Infrastruktur zur Verfügung, die Sicherheitsforscher und Open-Source-Maintainer benötigen, um Sicherheitslücken zu melden und offenzulegen.
Die Datei `SECURITY.MD` eines Repositorys hilft Forschern und Maintainern potenzielle Schwachstelle zu melden. Maintainer können projektbezogene Richtlinien erstellen oder automatisch eine Sicherheitsrichtlinie auf jedes Repository im Unternehmen anwenden.
Open Source Maintainer können Sicherheitsrichtlinien für Projekte festlegen und dadurch Teams zeigen, wie sie verantwortungsbewusst Schwachstellen melden.
Open Source Maintainer nutzen einen sicheren Bereich bei GitHub, um Schwachstellen gemeinsam zu beheben. Sie arbeiten an Fehlerbehebungen und veröffentlichen Sicherheitratgeber für die Entwicklergemeinschaft.
Bevor Maintainer Ratgeber veröffentlichen, diskutieren sie die Auswirkungen einer Schwachstelle unter sich. Sie arbeiten vorübergehend in privaten Forks zusammen und veröffentlichen dann Vorschläge, um ihr Umfeld zu benachrichtigen und auf dem neuesten Stand zu halten.
Die GitHub Advisory Datenbank dient als zentrale Anlaufstelle für Open Source Sicherheitsproblematiken mit bisher über 1800 Gutachten. Die Datenbank wurde 2019 gegründet und genießt seitdem das Vetrauen zahlreicher Open Source Projekte auf GitHub. Hier werden Sicherheitshinweise veröffentlicht und alle abhängigen Repositories benachrichtigt.
Common Vulnerabilities and Exposures (CVEs) erlauben es, auf Schwachstellen und deren Behebung Bezug zu nehmen, einschließlich der GitHub Advisory Datenbank und der National Vulnerability Datenbank. GitHub kann jetzt CVEs für jedes öffentliche Repository herausgeben, was es Sicherheitsforschern und Maintainern erleichtert, CVEs zu erstellen und die weltweite Softwareentwicklung zu schützen.
GitHub überprüft jede Sicherheitslücke, um betroffene Repositories zu identifizieren und zu benachrichtigen. Projektverantwortliche erhalten alle Details, um Risiken zu verstehen und rasch zu beheben.
GitHub scannt Schwachstellen in Paketen von unterstützten Paketmanagern. Dafür werden Daten von Sicherheitsforschern, Maintainern und der National Vulnerability Database, einschließlich Versionshinweisen, Changelog-Einträgen und Commit-Details einbezogen. Mehr Information stehen in der GitHub Advisory Database zur Verfügung.
GitHub durchsucht Sicherheitsdatenbanken kontinuierlich nach häufig eingesetzten Sprachen. Dependabot Benachrichtigungen werden automatisch an Maintainer der betroffenen Repositories mit Angaben zum Schweregrad und einem Link zu relevanten Dateien gesendet.
Das Identifizieren von Sicherheitslücken ist nur ein Teil der Herausforderung, aber Projektverantwortliche können gefährdete Abhängigkeiten mit Dependabot-Sicherheitsaktualisierungen schneller als je zuvor aktualisieren.
Die Sicherheitsupdates von Dependabot halten Projekte auf dem neuesten Stand, indem sie auf anfällige Komponenten überwacht werden. Wenn eine Schwachstelle gefunden wird, öffnet sich automatisch ein Pull-Request mit Korrekturvorschlägen - und teilt die Kompatibilitätsbewertungen auf der Grundlage von Community-Tests mit. So werden die Auswirkungen der vorgeschlagenen Änderungen vor dem Merge absehbar.
Sicheres Open Source bedeutet nicht nur den Code auf dem neuesten Stand zu halten. Wir arbeiten mit Sicherheitsforschern, Maintainern und Entwicklern zusammen, um zu verhindern, dass neue Schwachstellen in Softwareprojekte eindringen.
Jeder Entwickler muss seine Zugänge verwalten. Secret Scanning überwacht öffentliche und private Repositories auf bekannte Secrets. Wenn Secrets gefunden werden, erhalten entweder den Secret Provider oder die Admins der privaten Repositories automatische Benachrichtigungen.
GitHub arbeitet mit mehr als 24 der führenden Service Providern zusammen, um Secrets zu widerrufen oder zu ersetzen, so dass sie weiterhin sicher verwendet werden können.
Wenn ein GitHub Secret in ein öffentliches Repository verschoben wird, widerrufen wir es und benachrichtigen den Repository-Verantwortlichen innerhalb von Sekunden.
Secret scanning unterstützt Tokens von Alibaba Cloud, Atlassian, AWS, Azure, Dropbox, Discord, Google Cloud, Mailgun, npm, Proctorio, Pulumi, Slack, Stripe, and Twilio. Weitere werden laufen hinzugefügt.
Niemals den gleichen Fehler zweimal machen: Sicherheitsteams setzen GitHub Advanced Security ein, um Sicherheit in DevOps-Prozesse einzubauen und die sichere Entwicklung für alle Entwickler zu ermöglichen.
Code Scanning für mehr als eine Codebasis: Durch die Nutzung bereits vorhandener Abfragen und die automatisierte Suche nach Variationen, finden Teams kritische Schwachstellen schneller, selbst in den größten Projekten.
Code Scanning verhindert, dass Schwachstellen in die Produktion gelangen. Dafür wird jeder Pull-Request, Commit und Merge analysiert und anfälliger Code sofort bei der Entwicklung erkannt.
Advanced Security ist in den gesamten Entwicklungsprozess integriert und liefert wichtige Analysen in alen Bereichen.
Ganz gleich, ob du zu einem Open-Source-Projekt beiträgst oder neue Tools für dein Team auswählst - wir werden deinen Sicherheitsansprüchen gerecht. Du möchtest mehr über sichere Softwareentwicklung in Unternehmen erfahren?
Kontaktiere unser Sales TeamFeature | Free | Pro | Team | Enterprise |
---|---|---|---|---|
Code Scanning |
|
|
|
Kontakt |
Dependabot Security Updates |
|
|
|
|
GitHub Security Advisories |
|
|
|
|
Dependabot Benachrichtigungen |
|
|
|
|
Sicherheitsrichtlinien |
|
|
|
|
Secret Scanning |
|
|
|
|
Dependency Insights |
|
|
|
|
Two-factor Authentication (2FA) |
|
|
|
|
WebAuthn & security keys |
|
|
|
|
Erforderliche 2FA für Unternehmen |
|
|
|
|
Delegated Account Recovery |
|
|
|
|
Git über Secure Shell (SSH) und HTTPS |
|
|
|
|
Git über Secure Shell mit von Unternehmen ausgestellter Zertifikatsauthentifizierung |
|
|
|
|
GPG-Commit-Signatur-Verifizierung |
|
|
|
|
Sicherheitsauditprotokoll |
|
|
|
|
SAML |
|
|
|
|
LDAP |
|
|
|
|
IP-Zulassungsliste |
|
|
|
|
Geschützte Branches |
|
|
|
|
Erforderliche Überprüfungen |
|
|
|
|
Erforderliche Statusprüfungen |
|
|
|
|
Security Lab macht jedes Jahr zahlreiche Entdeckungen. Erfahren Sie mehr über aktuelle Sicherheitslücken.
Aktuelle Veröffentlichungen ansehenDie besten Sicherheitstools für Teams mit Advanced Security, die jetzt für GitHub Enterprise-Kunden verfügbar sind.
Sales kontaktieren