Security

Gemeinsam sichere Software
entwickeln

Wir alle spielen eine Rolle bei der sicheren Entwicklung von Code - Developer, Maintainer, Forscher und Sicherheitsteams. Auf GitHub arbeiten Teams zusammen, um die Softwarentwicklung bei jedem Schritt sicher zu gestalten.


Bereit, um über die Advanced Security Features für GitHub Enterprise zu sprechen?

Sales kontaktieren

Erkennen

Sicherheitslücken noch während der Codeentwicklung finden

Vom ersten Tag an sichereren Code mit End-to-End Security schreiben: GitHub hilft, Schwachstellen früher zu beheben und sichere Anwendungen zu liefern.

Security vulnerability Security vulnerability alert
Treating code as data

Sicherheit nach links schieben

Sicheren Code entwickeln und Innovation vorantreiben: Automatisiertes Codescanning prüft deine Software noch während du sie baust.

A revolutionary engine

Code als Datensatz

Während sich "Fuzzing", die manuelle Überprüfung von Code, für die Suche nach spezifischen Schwachstellen anbietet, ist es keine ideale Methode um die gesamte Codebasis abzudecken. CodeQL behandelt Code wie Datensätze und kodiert Schwachstellen als Abfragen oder Queries. Dadurch ist es möglich, jede Instanz eines Fehlers in einer Codebasis, einem Portfolio oder dem gesamten Open-Source-Software-Ökosystem zu finden.

Community-led approach

Ein gemeinschaftsorientierter Ansatz

CodeQL beinhaltet Tausende von Queries, die von GitHub und führenden Experten entwickelt wurden. Code-Scanning-Abfragen sind open source und ermöglichen es Entwicklern, Maintainern und Sicherheitsteams auf bestehenden Anfragen aufzubauen oder eigene zu entwickeln.

Offenlegen

Einen Open Source Sicherheitsworkflow definieren

Open Source ist das Fundament globaler Software. GitHub stellt die Infrastruktur zur Verfügung, die Sicherheitsforscher und Open-Source-Maintainer benötigen, um Sicherheitslücken zu melden und offenzulegen.

Responsible vulnera reporting

Unternehmensweite Sicherheitsrichtlinien

Die Datei `SECURITY.MD` eines Repositorys hilft Forschern und Maintainern potenzielle Schwachstelle zu melden. Maintainer können projektbezogene Richtlinien erstellen oder automatisch eine Sicherheitsrichtlinie auf jedes Repository im Unternehmen anwenden.

Organization-wide secuirty policies

Verantwortungsvolle Dokumentation von Schwachstellen

Open Source Maintainer können Sicherheitsrichtlinien für Projekte festlegen und dadurch Teams zeigen, wie sie verantwortungsbewusst Schwachstellen melden.

Security policy
Security workspace
Security workspace comment Security workspace comment Security workspace queues changes Security workspace merge

Beheben

GitHub Security Advisories

Open Source Maintainer nutzen einen sicheren Bereich bei GitHub, um Schwachstellen gemeinsam zu beheben. Sie arbeiten an Fehlerbehebungen und veröffentlichen Sicherheitratgeber für die Entwicklergemeinschaft.

Private collaboration for maintainers

Zusammenarbeit für Maintainer

Bevor Maintainer Ratgeber veröffentlichen, diskutieren sie die Auswirkungen einer Schwachstelle unter sich. Sie arbeiten vorübergehend in privaten Forks zusammen und veröffentlichen dann Vorschläge, um ihr Umfeld zu benachrichtigen und auf dem neuesten Stand zu halten.

Securing respositories and their dependents

Sichere Repositories und deren Abhängigkeiten

Die GitHub Advisory Datenbank dient als zentrale Anlaufstelle für Open Source Sicherheitsproblematiken mit bisher über 1800 Gutachten. Die Datenbank wurde 2019 gegründet und genießt seitdem das Vetrauen zahlreicher Open Source Projekte auf GitHub. Hier werden Sicherheitshinweise veröffentlicht und alle abhängigen Repositories benachrichtigt.

New CVE records from GitHub

Von GitHub veröffentlichte CVEs

Common Vulnerabilities and Exposures (CVEs) erlauben es, auf Schwachstellen und deren Behebung Bezug zu nehmen, einschließlich der GitHub Advisory Datenbank und der National Vulnerability Datenbank. GitHub kann jetzt CVEs für jedes öffentliche Repository herausgeben, was es Sicherheitsforschern und Maintainern erleichtert, CVEs zu erstellen und die weltweite Softwareentwicklung zu schützen.

Benachrichtigen

Dependabot Alerts

GitHub überprüft jede Sicherheitslücke, um betroffene Repositories zu identifizieren und zu benachrichtigen. Projektverantwortliche erhalten alle Details, um Risiken zu verstehen und rasch zu beheben.

Research-driven vulnerability data

Umfangreiche Schwachstellendatenbank

GitHub scannt Schwachstellen in Paketen von unterstützten Paketmanagern. Dafür werden Daten von Sicherheitsforschern, Maintainern und der National Vulnerability Database, einschließlich Versionshinweisen, Changelog-Einträgen und Commit-Details einbezogen. Mehr Information stehen in der GitHub Advisory Database zur Verfügung.

Expert analysis on every alert

Gemeinsam sicheren Code entwickeln

GitHub durchsucht Sicherheitsdatenbanken kontinuierlich nach häufig eingesetzten Sprachen. Dependabot Benachrichtigungen werden automatisch an Maintainer der betroffenen Repositories mit Angaben zum Schweregrad und einem Link zu relevanten Dateien gesendet.

Aktualisieren

Anfällige Abhängigkeiten automatisch aktualisieren

Das Identifizieren von Sicherheitslücken ist nur ein Teil der Herausforderung, aber Projektverantwortliche können gefährdete Abhängigkeiten mit Dependabot-Sicherheitsaktualisierungen schneller als je zuvor aktualisieren.

Automatische Pull-Requests für Security Updates

Die Sicherheitsupdates von Dependabot halten Projekte auf dem neuesten Stand, indem sie auf anfällige Komponenten überwacht werden. Wenn eine Schwachstelle gefunden wird, öffnet sich automatisch ein Pull-Request mit Korrekturvorschlägen - und teilt die Kompatibilitätsbewertungen auf der Grundlage von Community-Tests mit. So werden die Auswirkungen der vorgeschlagenen Änderungen vor dem Merge absehbar.

Dependabot comment Merge pull request
GitHub Security

Software vor Schwachstellen schützen

Sicheres Open Source bedeutet nicht nur den Code auf dem neuesten Stand zu halten. Wir arbeiten mit Sicherheitsforschern, Maintainern und Entwicklern zusammen, um zu verhindern, dass neue Schwachstellen in Softwareprojekte eindringen.

Vermeiden

Secret Scanning

Jeder Entwickler muss seine Zugänge verwalten. Secret Scanning überwacht öffentliche und private Repositories auf bekannte Secrets. Wenn Secrets gefunden werden, erhalten entweder den Secret Provider oder die Admins der privaten Repositories automatische Benachrichtigungen.

Alert exposed token Patched exposed token Code with exposed token

Zusammenarbeit mir Service Providern

GitHub arbeitet mit mehr als 24 der führenden Service Providern zusammen, um Secrets zu widerrufen oder zu ersetzen, so dass sie weiterhin sicher verwendet werden können.

GitHub Secrets sind sicher

Wenn ein GitHub Secret in ein öffentliches Repository verschoben wird, widerrufen wir es und benachrichtigen den Repository-Verantwortlichen innerhalb von Sekunden.

Wachsende Unterstützung für beliebte Service Provider

Popular provider logos

Secret scanning unterstützt Tokens von Alibaba Cloud, Atlassian, AWS, Azure, Dropbox, Discord, Google Cloud, Mailgun, npm, Proctorio, Pulumi, Slack, Stripe, and Twilio. Weitere werden laufen hinzugefügt.

Unterschiedliche Schwachstellen beseitigen, bevor sie zu einem Problem werden

Niemals den gleichen Fehler zweimal machen: Sicherheitsteams setzen GitHub Advanced Security ein, um Sicherheit in DevOps-Prozesse einzubauen und die sichere Entwicklung für alle Entwickler zu ermöglichen.

Vulnerability found with LGTM Deserializing user-controlled data may allow attackers to execute arbitrary code

Alle Variationen entdecken und entfernen

Code Scanning für mehr als eine Codebasis: Durch die Nutzung bereits vorhandener Abfragen und die automatisierte Suche nach Variationen, finden Teams kritische Schwachstellen schneller, selbst in den größten Projekten.

Änderungen prüfen und Fehler in der Produktion vermeiden

Code Scanning verhindert, dass Schwachstellen in die Produktion gelangen. Dafür wird jeder Pull-Request, Commit und Merge analysiert und anfälliger Code sofort bei der Entwicklung erkannt.

Entwicklungsprozess in allen Bereichen sichern

Advanced Security ist in den gesamten Entwicklungsprozess integriert und liefert wichtige Analysen in alen Bereichen.

Query language for LGTM

Vergleich

Ganz gleich, ob du zu einem Open-Source-Projekt beiträgst oder neue Tools für dein Team auswählst - wir werden deinen Sicherheitsansprüchen gerecht. Du möchtest mehr über sichere Softwareentwicklung in Unternehmen erfahren?

Kontaktiere unser Sales Team
Feature Free Pro Team Enterprise
Code Scanning Included Öffentliche Repositories Included Öffentliche Repositories Included Öffentliche Repositories Kontakt
Dependabot Security Updates Included Included Included Included Enterprise Cloud
GitHub Security Advisories Included Öffentliche Repositories Included Öffentliche Repositories Included Öffentliche Repositories Included Öffentliche Repositories Enterprise Cloud
Dependabot Benachrichtigungen Included Included Included Included
Sicherheitsrichtlinien Included Öffentliche Repositories Included Öffentliche Repositories Included Öffentliche Repositories Included Öffentliche Repositories Enterprise Cloud
Secret Scanning Included Öffentliche Repositories Included Öffentliche Repositories Included Öffentliche Repositories Included Öffentliche Repositories Private RepositoriesBeta Enterprise Cloud
Dependency Insights Not included Not included Not included Included Enterprise Cloud
Two-factor Authentication (2FA) Included Included Included Included
WebAuthn & security keys Included Included Included Included
Erforderliche 2FA für Unternehmen Not included Not included Included Included
Delegated Account Recovery Included Included Included Not included
Git über Secure Shell (SSH) und HTTPS Included Included Included Included
Git über Secure Shell mit von Unternehmen ausgestellter Zertifikatsauthentifizierung Not included Not included Not included Included
GPG-Commit-Signatur-Verifizierung Included Included Included Included
Sicherheitsauditprotokoll Not included Not included Included Included
SAML Not included Not included Not included Included
LDAP Not included Not included Not included Included
IP-Zulassungsliste Not included Not included Not included Included Enterprise Cloud
Geschützte Branches Included Included Included Included
Erforderliche Überprüfungen Included Öffentliche Repositories Included Included Included
Erforderliche Statusprüfungen Included Öffentliche Repositories Included Included Included

Mehr zu GitHub Security Lab

Security Lab macht jedes Jahr zahlreiche Entdeckungen. Erfahren Sie mehr über aktuelle Sicherheitslücken.

Aktuelle Veröffentlichungen ansehen

Für GitHub Advanced Security anmelden

Die besten Sicherheitstools für Teams mit Advanced Security, die jetzt für GitHub Enterprise-Kunden verfügbar sind.

Sales kontaktieren