iToverDose/Software· 1 JULI 2026 · 16:32

Sicherheitsrisiken minimieren: 6 GitHub-Einstellungen für Projektverantwortliche

Projektverwalter auf GitHub können mit sechs einfachen Einstellungen ihre Repositories besser schützen – ohne großen Aufwand. Erfahren Sie, welche Konfigurationen wirklich den Unterschied machen und wie sie in unter 30 Minuten umgesetzt werden.

GitHub Blog4 min0 Kommentare

Projektverantwortliche auf GitHub sehen sich täglich mit einer Flut an Aufgaben konfrontiert. Sicherheitseinstellungen gehören dabei oft nicht zu den priorisierten Themen – dabei können bereits kleine Anpassungen das Risiko von Datenlecks und Sicherheitslücken deutlich reduzieren. Die GitHub Security Labs zeigen, wie sechs kostenlose Einstellungen innerhalb weniger Minuten aktiviert werden können, um die Sicherheit eines Projekts spürbar zu verbessern.

Warum Grundeinstellungen für die Sicherheit entscheidend sind

Viele Projektverantwortliche wurden nicht als Sicherheitsexperten eingestellt, doch genau das macht die richtige Konfiguration umso wichtiger. Unzureichende Sicherheitsvorkehrungen führen nicht nur zu einem erhöhten Risiko für Schwachstellen, sondern auch zu einer schlechten Skalierbarkeit und Automatisierung. Ohne klare Richtlinien können sensible Informationen ungewollt öffentlich werden oder unbemerkt kompromittiert werden. Die GitHub Security Labs empfehlen daher, sechs zentrale Einstellungen zu aktivieren, die in weniger als 30 Minuten umgesetzt werden können. Ein geführter Assistent namens Protect Your Project vereinfacht diesen Prozess und führt durch jede Konfiguration.

1. Eine SECURITY.md-Datei hinzufügen

Die einfachste, aber wirkungsvollste Einstellung ist die Erstellung einer SECURITY.md-Datei. Diese Datei dient als zentrale Anlaufstelle für Sicherheitsforscher, die Schwachstellen in Ihrem Projekt melden möchten. Ohne eine solche Datei bleibt ihnen nur die Option, ein öffentliches Issue zu erstellen – was de facto einem öffentlichen Exploit entspricht – oder Ihre persönliche E-Mail-Adresse zu suchen.

Die Datei muss nicht umfangreich sein. Es reicht ein klarer Kommunikationsweg, etwa eine dedizierte E-Mail-Adresse für Sicherheitsmeldungen. Zudem sollten Sie definieren, welche Arten von Schwachstellen Sie entgegennehmen, und realistische Erwartungen an die Reaktionszeit kommunizieren. Ein gutes Beispiel ist die Sicherheitsrichtlinie des systemd-Projekts, die als Vorlage dienen kann. Passen Sie einfach die Kontaktdaten an und fügen Sie die Datei in Ihr Repository ein. Die Erstellung dauert maximal zehn Minuten.

2. Private Schwachstellenmeldungen aktivieren

Eine SECURITY.md-Datei gibt Sicherheitsforschern den Weg vor – private Schwachstellenmeldungen bieten ihnen jedoch einen geschützten Raum, um Probleme zu melden. Sobald diese Funktion aktiviert ist, können Forscher vertrauliche Meldungen direkt in Ihrem Repository einreichen. Sie können diese dann intern prüfen und erst zu einem späteren Zeitpunkt öffentlich bekanntgeben.

Die Aktivierung erfolgt mit einem einzigen Häkchen in den Repository-Einstellungen unter Security. Wenn Sie nur eine Sache heute noch umsetzen können, dann diese beiden Einstellungen gemeinsam. Sie sind kostenlos und signalisieren der Community, dass Ihnen Sicherheit wichtig ist.

3. Secrets Scanning mit Push-Schutz

Dieser Punkt ist besonders kritisch, da er vor den kostspieligsten Sicherheitsvorfällen schützt. Laut dem GitGuardian Secrets Sprawl Report 2026 wurden 2025 weltweit 28,65 Millionen geheime Zugangsdaten in öffentlichen GitHub-Repositories gefunden – ein Anstieg von 34 % gegenüber dem Vorjahr. Besonders besorgniserregend ist, dass KI-gestützte Commits geheime Daten etwa doppelt so oft exponieren wie herkömmliche Commits. Die durchschnittlichen Kosten eines Datenlecks belaufen sich laut IBM Cost of a Data Breach Report 2025 auf 4,44 Millionen US-Dollar global (10,22 Millionen US-Dollar in den USA).

Secrets Scanning erkennt geheime Schlüssel und Token, die versehentlich in den Code gelangen, und blockiert sie bereits lokal, bevor sie ins Repository hochgeladen werden. Diese Funktion ist sowohl für öffentliche als auch private Repositories relevant, da einmal exponierte Daten für jeden mit Zugriff auf das Repository sichtbar werden.

4. Dependabot und Dependency Review nutzen

Ein Projekt besteht nicht nur aus eigenem Code, sondern auch aus den Abhängigkeiten, die es einbindet. Besonders bei Content-Management-Systemen wie WordPress zeigt sich das Risiko: Eine Suche nach kritischen Sicherheitslücken in WordPress-Plugins offenbart zahlreiche bekannte Schwachstellen. Dependabot überwacht Ihre Abhängigkeiten und warnt Sie, sobald eine verwundbare Version verwendet wird. Dependency Review hingegen zeigt Ihnen in einem Pull Request direkt an, welche Änderungen an den Abhängigkeiten vorgenommen werden und ob diese bekannte Sicherheitslücken aufweisen.

Zusammen verwandeln diese Tools eine undurchsichtige package.json-Differenz in eine überschaubare Überprüfung, die nur wenige Minuten in Anspruch nimmt.

5. Code Scanning für automatisierte Sicherheitsprüfungen

Code Scanning führt statische Analysen durch und identifiziert typische Sicherheitsmuster, die zu Fehlern führen können – etwa SQL-Injection, Command-Injection oder unsichere Deserialisierung. Die von GitHub entwickelte Engine CodeQL ist seit 2019 kostenlos für Open-Source-Projekte verfügbar und wird heute standardmäßig als Ein-Klick-Lösung in den Bereichen Security und Quality angeboten.

Viele Projektverantwortliche verzichten auf diese Einstellung, weil sie eine aufwendige Konfiguration vermuten. Tatsächlich reicht die Standardkonfiguration aus: Sie wählt automatisch das passende Abfragepaket für Ihre Programmiersprache aus und führt die Analyse bei jedem Pull Request durch.

6. Branch Protection für den Standardbranch aktivieren

Diese Einstellung mag unscheinbar wirken, hat aber den größten Einfluss auf die Sicherheit. Sie erfordert, dass Änderungen am Standardbranch wie main oder master nur über Pull Requests mit mindestens einer Genehmigung vorgenommen werden können.

Diese Maßnahme verhindert Szenarien wie kompromittierte Anmeldedaten, versehentliche Commits oder direkte Produktionsänderungen durch überlastete Entwickler. Zudem stellt sie sicher, dass die zuvor aktivierten Einstellungen wie Dependabot-Warnungen oder Code-Scanning-Meldungen tatsächlich wirksam werden, indem sie den Merge blockieren.

Schnellstart mit dem Protect-Your-Project-Assistenten

Um die Umsetzung zu erleichtern, bietet GitHub den Assistenten Protect Your Project an. Dieser geführte Workflow führt Sie in 10 bis 15 Minuten durch alle sechs Einstellungen – ohne Anmeldung. Nach der Aktivierung können Sie die Einstellungen auch manuell vornehmen, sobald Sie deren Funktionsweise verstanden haben.

Fazit: Kleine Schritte mit großer Wirkung

Diese sechs Einstellungen machen Ihr Projekt nicht unangreifbar – aber sie schließen die häufigsten Einfallstore für Angreifer. Mit minimalem Aufwand können Sie die Sicherheit spürbar erhöhen und gleichzeitig die Wartbarkeit und Skalierbarkeit Ihres Projekts verbessern. Beginnen Sie noch heute und schützen Sie Ihre Nutzer sowie Ihre Reputation.

KI-Zusammenfassung

GitHub projelerinizin güvenlik açıklarını kolayca kapatın. Ücretsiz altı ayar ve adım adım rehberle projelerinizi koruyun.

Kommentare

00
KOMMENTAR SCHREIBEN
ID #365AM7

0 / 1200 ZEICHEN

Menschen-Check

7 + 4 = ?

Erscheint nach redaktioneller Prüfung

Moderation · Spam-Schutz aktiv

Noch keine Kommentare. Sei der erste.