Erkennen
Sicherheitslücken noch während der Codeentwicklung finden
Vom ersten Tag an sichereren Code mit End-to-End Security schreiben: GitHub hilft, Schwachstellen früher zu beheben und sichere Anwendungen zu liefern.
Sicherheit nach links schieben
Sicheren Code entwickeln und Innovation vorantreiben: Automatisiertes Codescanning prüft deine Software noch während du sie baust.
Code als Datensatz
Während sich "Fuzzing", die manuelle Überprüfung von Code, für die Suche nach spezifischen Schwachstellen anbietet, ist es keine ideale Methode um die gesamte Codebasis abzudecken. CodeQL behandelt Code wie Datensätze und kodiert Schwachstellen als Abfragen oder Queries. Dadurch ist es möglich, jede Instanz eines Fehlers in einer Codebasis, einem Portfolio oder dem gesamten Open-Source-Software-Ökosystem zu finden.
Ein gemeinschaftsorientierter Ansatz
CodeQL beinhaltet Tausende von Queries, die von GitHub und führenden Experten entwickelt wurden. Code-Scanning-Abfragen sind open source und ermöglichen es Entwicklern, Maintainern und Sicherheitsteams auf bestehenden Anfragen aufzubauen oder eigene zu entwickeln.
Offenlegen
Einen Open Source Sicherheitsworkflow definieren
Open Source ist das Fundament globaler Software. GitHub stellt die Infrastruktur zur Verfügung, die Sicherheitsforscher und Open-Source-Maintainer benötigen, um Sicherheitslücken zu melden und offenzulegen.
Unternehmensweite Sicherheitsrichtlinien
Die Datei `SECURITY.MD` eines Repositorys hilft Forschern und Maintainern potenzielle Schwachstelle zu melden. Maintainer können projektbezogene Richtlinien erstellen oder automatisch eine Sicherheitsrichtlinie auf jedes Repository im Unternehmen anwenden.
Verantwortungsvolle Dokumentation von Schwachstellen
Open Source Maintainer können Sicherheitsrichtlinien für Projekte festlegen und dadurch Teams zeigen, wie sie verantwortungsbewusst Schwachstellen melden.
Beheben
GitHub Security Advisories
Open Source Maintainer nutzen einen sicheren Bereich bei GitHub, um Schwachstellen gemeinsam zu beheben. Sie arbeiten an Fehlerbehebungen und veröffentlichen Sicherheitratgeber für die Entwicklergemeinschaft.
Zusammenarbeit für Maintainer
Bevor Maintainer Ratgeber veröffentlichen, diskutieren sie die Auswirkungen einer Schwachstelle unter sich. Sie arbeiten vorübergehend in privaten Forks zusammen und veröffentlichen dann Vorschläge, um ihr Umfeld zu benachrichtigen und auf dem neuesten Stand zu halten.
Sichere Repositories und deren Abhängigkeiten
Die GitHub Advisory Datenbank dient als zentrale Anlaufstelle für Open Source Sicherheitsproblematiken mit bisher über 1800 Gutachten. Die Datenbank wurde 2019 gegründet und genießt seitdem das Vetrauen zahlreicher Open Source Projekte auf GitHub. Hier werden Sicherheitshinweise veröffentlicht und alle abhängigen Repositories benachrichtigt.
Von GitHub veröffentlichte CVEs
Common Vulnerabilities and Exposures (CVEs) erlauben es, auf Schwachstellen und deren Behebung Bezug zu nehmen, einschließlich der GitHub Advisory Datenbank und der National Vulnerability Datenbank. GitHub kann jetzt CVEs für jedes öffentliche Repository herausgeben, was es Sicherheitsforschern und Maintainern erleichtert, CVEs zu erstellen und die weltweite Softwareentwicklung zu schützen.
Benachrichtigen
Dependabot Alerts
GitHub überprüft jede Sicherheitslücke, um betroffene Repositories zu identifizieren und zu benachrichtigen. Projektverantwortliche erhalten alle Details, um Risiken zu verstehen und rasch zu beheben.
Umfangreiche Schwachstellendatenbank
GitHub scannt Schwachstellen in Paketen von unterstützten Paketmanagern. Dafür werden Daten von Sicherheitsforschern, Maintainern und der National Vulnerability Database, einschließlich Versionshinweisen, Changelog-Einträgen und Commit-Details einbezogen. Mehr Information stehen in der GitHub Advisory Database zur Verfügung.
Gemeinsam sicheren Code entwickeln
GitHub durchsucht Sicherheitsdatenbanken kontinuierlich nach häufig eingesetzten Sprachen. Dependabot Benachrichtigungen werden automatisch an Maintainer der betroffenen Repositories mit Angaben zum Schweregrad und einem Link zu relevanten Dateien gesendet.
Aktualisieren
Anfällige Abhängigkeiten automatisch aktualisieren
Das Identifizieren von Sicherheitslücken ist nur ein Teil der Herausforderung, aber Projektverantwortliche können gefährdete Abhängigkeiten mit Dependabot-Sicherheitsaktualisierungen schneller als je zuvor aktualisieren.
Automatische Pull-Requests für Security Updates
Die Sicherheitsupdates von Dependabot halten Projekte auf dem neuesten Stand, indem sie auf anfällige Komponenten überwacht werden. Wenn eine Schwachstelle gefunden wird, öffnet sich automatisch ein Pull-Request mit Korrekturvorschlägen - und teilt die Kompatibilitätsbewertungen auf der Grundlage von Community-Tests mit. So werden die Auswirkungen der vorgeschlagenen Änderungen vor dem Merge absehbar.
Software vor Schwachstellen schützen
Sicheres Open Source bedeutet nicht nur den Code auf dem neuesten Stand zu halten. Wir arbeiten mit Sicherheitsforschern, Maintainern und Entwicklern zusammen, um zu verhindern, dass neue Schwachstellen in Softwareprojekte eindringen.
Vermeiden
Secret Scanning
Jeder Entwickler muss seine Zugänge verwalten. Secret Scanning überwacht öffentliche und private Repositories auf bekannte Secrets. Wenn Secrets gefunden werden, erhalten entweder den Secret Provider oder die Admins der privaten Repositories automatische Benachrichtigungen.
Zusammenarbeit mir Service Providern
GitHub arbeitet mit mehr als 24 der führenden Service Providern zusammen, um Secrets zu widerrufen oder zu ersetzen, so dass sie weiterhin sicher verwendet werden können.
GitHub Secrets sind sicher
Wenn ein GitHub Secret in ein öffentliches Repository verschoben wird, widerrufen wir es und benachrichtigen den Repository-Verantwortlichen innerhalb von Sekunden.
Wachsende Unterstützung für beliebte Service Provider
Secret scanning unterstützt Tokens von Alibaba Cloud, Atlassian, AWS, Azure, Dropbox, Discord, Google Cloud, Mailgun, npm, Proctorio, Pulumi, Slack, Stripe, and Twilio. Weitere werden laufen hinzugefügt.
Unterschiedliche Schwachstellen beseitigen, bevor sie zu einem Problem werden
Niemals den gleichen Fehler zweimal machen: Sicherheitsteams setzen GitHub Advanced Security ein, um Sicherheit in DevOps-Prozesse einzubauen und die sichere Entwicklung für alle Entwickler zu ermöglichen.
Alle Variationen entdecken und entfernen
Code Scanning für mehr als eine Codebasis: Durch die Nutzung bereits vorhandener Abfragen und die automatisierte Suche nach Variationen, finden Teams kritische Schwachstellen schneller, selbst in den größten Projekten.
Änderungen prüfen und Fehler in der Produktion vermeiden
Code Scanning verhindert, dass Schwachstellen in die Produktion gelangen. Dafür wird jeder Pull-Request, Commit und Merge analysiert und anfälliger Code sofort bei der Entwicklung erkannt.
Entwicklungsprozess in allen Bereichen sichern
Advanced Security ist in den gesamten Entwicklungsprozess integriert und liefert wichtige Analysen in alen Bereichen.
Vergleich
Ganz gleich, ob du zu einem Open-Source-Projekt beiträgst oder neue Tools für dein Team auswählst - wir werden deinen Sicherheitsansprüchen gerecht. Du möchtest mehr über sichere Softwareentwicklung in Unternehmen erfahren?
Kontaktiere unser Sales Team| Feature | Free | Pro | Team | Enterprise |
|---|---|---|---|---|
| Code Scanning |
Öffentliche Repositories
|
Öffentliche Repositories
|
Öffentliche Repositories
|
Kontakt |
| Dependabot Security Updates |
|
|
|
Enterprise Cloud
|
| GitHub Security Advisories |
Öffentliche Repositories
|
Öffentliche Repositories
|
Öffentliche Repositories
|
Öffentliche Repositories
Enterprise Cloud
|
| Dependabot Benachrichtigungen |
|
|
|
|
| Sicherheitsrichtlinien |
Öffentliche Repositories
|
Öffentliche Repositories
|
Öffentliche Repositories
|
Öffentliche Repositories
Enterprise Cloud
|
| Secret Scanning |
Öffentliche Repositories
|
Öffentliche Repositories
|
Öffentliche Repositories
|
Öffentliche Repositories
Private Repositories
Enterprise Cloud
|
| Dependency Insights |
|
|
|
Enterprise Cloud
|
| Two-factor Authentication (2FA) |
|
|
|
|
| WebAuthn & security keys |
|
|
|
|
| Erforderliche 2FA für Unternehmen |
|
|
|
|
| Delegated Account Recovery |
|
|
|
|
| Git über Secure Shell (SSH) und HTTPS |
|
|
|
|
| Git über Secure Shell mit von Unternehmen ausgestellter Zertifikatsauthentifizierung |
|
|
|
|
| GPG-Commit-Signatur-Verifizierung |
|
|
|
|
| Sicherheitsauditprotokoll |
|
|
|
|
| SAML |
|
|
|
|
| LDAP |
|
|
|
|
| IP-Zulassungsliste |
|
|
|
Enterprise Cloud
|
| Geschützte Branches |
|
|
|
|
| Erforderliche Überprüfungen |
Öffentliche Repositories
|
|
|
|
| Erforderliche Statusprüfungen |
Öffentliche Repositories
|
|
|
|
Mehr zu GitHub Security Lab
Security Lab macht jedes Jahr zahlreiche Entdeckungen. Erfahren Sie mehr über aktuelle Sicherheitslücken.
Aktuelle Veröffentlichungen ansehenFür GitHub Advanced Security anmelden
Die besten Sicherheitstools für Teams mit Advanced Security, die jetzt für GitHub Enterprise-Kunden verfügbar sind.
Sales kontaktieren