Dein/e Organisationsadministrator:in oder Sicherheitsbeauftragte:r startet den Scan. Die Geheimnis-Risikobewertung überprüft jedes Repository in deiner Organisation. Die Bewertung des Codesicherheitsrisikos überprüft bis zu 20 von dir ausgewählte Repositorys. GitHub schickt dir eine E-Mail, sobald der Bericht fertig ist.
GitHub Security-Sicherheitsrisikobewertungen
Wie anfällig ist deine Organisation? Führe eine kostenlose Bewertung, um es herauszufinden.
Die Risikobewertungen von GitHub durchsuchen deine Repositorys nach offengelegten Anmeldedaten und Code-Schwachstellen, sodass du konkrete Ergebnisse in deiner eigenen Umgebung bewerten kannst, bevor du entscheidest, ob sich der Einsatz der GitHub Security-Sicherheitsprodukte lohnt.
Geheimnis-Risikobewertung
Finde offengelegte Anmeldedaten in allen Repositorys deiner Organisation. Finde heraus, wo sie leben, welche Kategorien am häufigsten vorkommen und wie viele Vorfälle durch einen Push-Schutz hätten verhindert werden können.
Bewertung von Risiken bei der Codesicherheit
Scanne bis zu 20 deiner aktivsten Repositorys. Zeige Schwachstellen nach Schweregrad, Regel und Sprache an und erfahre, wie viele davon für einen „Copilot Autofix“-Vorschlag in Frage kommen.
Was du in deinen Ergebnissen sehen wirst
Nutze die Ergebnisse, um dein Team zu informieren, deine risikoreichsten Repositorys zu identifizieren und zu entscheiden, ob „Secret Protection“ und „GitHub Code Security“ einen Platz in deiner Infrastruktur verdienen.
Funktionsweise
Führe die Bewertung durch
Schau dir die Ergebnisse an
Öffne die Registerkarten „Codesicherheit“ und „Geheimnisschutz“, um zu sehen, welche Ergebnisse die einzelnen Scans geliefert haben. Die Registerkarte „Geheimnisschutz“ wird während der Verarbeitung der Repositorys geladen. Die Registerkarte „Codesicherheit“ wird angezeigt, sobald der vollständige Scan abgeschlossen ist.
Entscheide, wie es weitergeht
Berechtigte Unternehmensadministrator:inneen können direkt aus der Risikobewertung heraus eine Testversion von GitHub Advanced Security starten. Wenn du keinen Anspruch auf eine Self-Service-Testversion hast, kannst du „Geheimnisschutz“ oder „Codesicherheit“ direkt über die Bewertung aktivieren oder dich an eine Fachkraft bei GitHub wenden.
Deine Repositorys. Deine Erkenntnisse. Du entscheidest.
Teste deinen eigentlichen Code
Die meisten Sicherheitsbewertungen stützen sich auf Benchmarks, Demos oder Abdeckungstabellen. Die Analyse untersucht deine eigenen Repositorys, sodass du die Ergebnisse anhand dessen bewerten kannst, was deine Entwickler tatsächlich veröffentlichen.
Entscheide dich anhand von Fakten, nicht anhand von Vermutungen
Teste die Funktionen in deiner eigenen Umgebung, bevor du entscheidest, ob die GitHub Security-Produkte das Richtige für dich sind.
Überprüfe, was funktioniert, oder finde heraus, was nicht funktioniert
Stille Ergebnisse sind der Beweis dafür, dass deine derzeitigen Vorgehensweisen funktionieren. Konkrete Erkenntnisse – wie Anmeldedaten, Schwachstellen oder betroffene Repositorys – liefern dir eine faktenbasierte Grundlage für dein Handeln.
Halte dich an die Fakten
Führe die Bewertung durch. Schau dir die Ergebnisse an. Entscheide, wie es weitergeht.
Häufig gestellte Fragen
Mit welchen GitHub-Tarifen und -Rollen kann man eine Sicherheitsrisikobewertung durchführen?
Organisationsinhaber:innen und Sicherheitsmanager:innen bei GitHub Team oder GitHub Enterprise Cloud. Die Bewertung des Codesicherheitsrisikos ist in GitHub Enterprise Server 3.22 enthalten.
Wie viel kostet die GitHub Security-Sicherheitsrisikobewertung?
Nichts. Die Bewertung ist kostenlos, einschließlich der GitHub-Actions-Minuten, die für die Durchführung der Code-Scans verwendet werden. Während der Bewertung fallen keine Kosten für GitHub Code Security- oder Secret Protection-Lizenzen an.
Wie lange dauert eine GitHub Security-Sicherheitsrisikobewertung?
Die meisten Scans sind innerhalb von 30 Minuten abgeschlossen. Bei größeren oder komplexeren Organisationen kann es länger dauern. GitHub schickt dir eine E-Mail, sobald der Bericht fertig ist. Die Registerkarte „Geheimnisschutz“ wird aktualisiert, sobald die Repositorys gescannt werden; die Registerkarte „Codesicherheit“ wird angezeigt, sobald der vollständige Scan abgeschlossen ist.
Wie oft kannst du eine GitHub Security-Sicherheitsrisikobewertung durchführen?
Alle 90 Tage. Du kannst jedes Mal festlegen, welche Repositorys gescannt werden sollen.
Worauf prüft der GitHub Security-Sicherheitsrisikoscan?
Was Geheimnisse angeht, überprüft GitHub die Repositorys deiner Organisation auf offengelegte Anmeldedaten, wobei sowohl anbieterbezogene als auch generische Muster berücksichtigt werden. Was den Code betrifft, scannt GitHub mithilfe von CodeQL bis zu 20 Repositorys, wobei standardmäßig diejenigen ausgewählt werden, in denen in den letzten 90 Tagen die meisten Commits vorgenommen wurden. Du kannst die Auswahl ändern, bevor du den Scan startest.
Hat die Durchführung einer GitHub-Bewertung Auswirkungen auf meine bestehenden Code Scanning-Daten?
Nein. Die Risikobewertung nutzt einen separaten Upload-Pfad und verändert oder beeinträchtigt die bestehenden Code Scanning-Warnungen in deinen Repositories nicht.
Was bedeutet es, wenn die GitHub Security-Sicherheitsrisikobewertung keine Probleme feststellt?
Das ist ein gutes Zeichen. Du wirst den Beweis haben, dass deine aktuellen Sicherheitsmaßnahmen das abdecken, worauf es ankommt. Wiederhole den Vorgang alle 90 Tage, um sicherzustellen, dass das Bild weiterhin zutrifft.
What can I do after reviewing my GitHub security risk assessment results?
Eligible enterprise admins can start a GitHub Advanced Security trial directly from the risk assessment. Depending on your eligibility, you can enable Secret Protection or Code Security, start a GitHub Advanced Security trial, or contact GitHub to speak with an expert.
Teilt GitHub die Ergebnisse der Sicherheitsrisikobewertung mit seinen Vertriebsteams?
Nur, wenn du zustimmst. Bei den Bewertungen mit Einwilligung werden die Kontaktdaten an dein Account-Team weitergeleitet, damit dieses nachfassen kann. Wenn du nicht zustimmst, erhält dein Account-Team eine Benachrichtigung, dass deine Organisation eine Bewertung durchgeführt hat, ohne dass dabei personenbezogene Daten oder Einzelheiten zur Bewertung übermittelt werden.