GitHub-Repositories sicher machen: Der Einsteiger-Guide z...
TL;DR: GitHub bietet mit GitHub Advanced Security (GHAS) ein leistungsstarkes, integriertes Security-Toolkit direkt im Repository – kostenlos für öffentliche Projekte. Secret Scanning, Dependabot, CodeQL und Copilot Autofix decken die wichtigsten Angriffsvektoren ab und lassen sich ohne externe Tools in bestehende Workflows einbinden. Am 30. März 2026 hat GitHub Developer Advocate Kedasha Kerr einen praxisnahen Einstiegsartikel zur GitHub-Sicherheitssuite veröffentlicht – Teil der laufenden Serie “GitHub for Beginners, Season 3”. Er zeigt Schritt für Schritt, wie Entwicklerinnen und Entwickler ihre Repositories mit den eingebauten GHAS-Features absichern können, ohne teure Drittlösungen zu benötigen.
Die wichtigsten Punkte
- 📅 Verfügbarkeit: GHAS-Grundfunktionen sind heute für alle öffentlichen Repositories kostenlos verfügbar; private Repos benötigen eine Enterprise-Lizenz
- 🎯 Zielgruppe: Entwicklerinnen und Entwickler, die GitHub aktiv nutzen – von Einsteigern bis hin zu Tech Leads, die Sicherheitsprozesse im Team standardisieren wollen
- 💡 Kernfeature: Vier Tools in einem Dashboard: Secret Scanning, Dependabot, CodeQL Code Scanning und Copilot Autofix
- 🔧 Tech-Stack: GitHub Advanced Security (GHAS), CodeQL, GitHub Actions, Copilot
Was bedeutet das für Entwicklungsteams?
Für Teams bedeutet der Einstieg in GHAS vor allem eines: Security wird Teil des täglichen Workflows, ohne dass ein separates Tool, ein neues Dashboard oder ein dediziertes Security-Team notwendig ist. Die Lernkurve ist bewusst flach gehalten – die meisten Features lassen sich mit wenigen Klicks im Repository-Settings aktivieren. In der Praxis zeigt sich, dass gerade Junior-Entwickler durch die klare Benutzerführung der Alert-Ansichten schnell verstehen, warum eine Schwachstelle problematisch ist und wie sie behoben werden kann. Das schafft nachhaltigeres Sicherheitsbewusstsein als interne Schulungsunterlagen. Für Tech Leads und CTOs ist besonders relevant, dass GHAS direkt mit bestehenden GitHub Actions Pipelines interagiert: Scans laufen automatisch bei jedem Pull Request, sodass Sicherheitsprobleme gefunden werden, bevor Code in den Hauptbranch gemergt wird.
Technische Details der vier GHAS-Kernfunktionen
1. Secret Scanning
GitHub scannt automatisch nach versehentlich eingecheckten API-Keys, Tokens oder Zugangsdaten. Wird ein Secret entdeckt, erscheint ein Alert im Security-Tab des Repositories – inklusive genauer Fundstelle im Code. Wichtig zu verstehen: GitHub kann das Secret nicht selbst revoking – das muss manuell auf der jeweiligen Plattform (Azure, Stripe, AWS etc.) geschehen. Secret Scanning gibt aber die frühzeitige Warnung, damit ein geleaktes Secret kein ausgenutztes Secret wird.
2. Dependabot
Dependabot überwacht alle Abhängigkeiten eines Projekts und gleicht sie mit der GitHub Advisory Database ab. Wird eine Schwachstelle in einer verwendeten Library gefunden, öffnet Dependabot automatisch einen Pull Request mit dem empfohlenen Versions-Update. Der entscheidende Punkt: Jede importierte Library überträgt ihr Risiko auf das eigene Projekt – unabhängig davon, ob man den verwundbaren Code selbst geschrieben hat oder nicht. Selbst kleine oder neue Projekte sind betroffen.
3. CodeQL Code Scanning
CodeQL ist kein Linter. Es versteht Datenflüsse im Code: wo eine Eingabe herkommt, welchen Weg sie nimmt, und wo sie landet. Das macht CodeQL deutlich mächtiger als klassische statische Analysen – es erkennt auch komplexe Schwachstellen wie SQL Injections oder Cross-Site-Scripting-Pfade. Aktivierung über Settings → Advanced Security → CodeQL analysis → “Default” – und anschließend “Enable CodeQL”.
4. Copilot Autofix
Wird ein CodeQL-Alert angezeigt, lässt sich mit einem Klick auf “Generate fix” ein KI-gestützter Patch erzeugen. Copilot erklärt den Fix, und mit “Commit to new branch” wird direkt ein Pull Request erstellt. Der Entwickler behält die volle Kontrolle – Copilot beschleunigt, entscheidet aber nicht.
Strategische Einordnung: Security als Teil der Teamkultur
Für Unternehmen ist der wichtigste Aspekt nicht die Technologie selbst, sondern was sie ermöglicht: Security Shift Left – Sicherheitsprüfungen finden dort statt, wo Code entsteht, nicht erst beim Deployment oder im Incident-Review. Die vier GHAS-Features bilden zusammen eine Basis-Sicherheitsschicht, die in gut einer Stunde aktiviert werden kann. Das ändert die Frage von “Haben wir eine Security-Lösung?” zu “Wie gut nutzen wir die bereits vorhandenen Tools?”. Für Teams mit GHAS-Enterprise-Lizenz kommen zusätzlich organisationsweite Dashboards, Security Campaigns für Bulk-Remediation und delegierte Bypass-Kontrollen hinzu – was die Governance auf Unternehmensebene deutlich vereinfacht. Die Lernkurve in der Praxis: Neue Teammitglieder können Secret Scanning und Dependabot innerhalb weniger Minuten verstehen. CodeQL und Copilot Autofix erfordern etwas mehr Kontext – besonders das Verständnis von Datenflusspfaden – sind aber über die Alert-Ansichten gut erklärend dokumentiert.
Praktische Nächste Schritte
- Heute aktivieren: GHAS in einem öffentlichen Repository einschalten (Settings → Advanced Security) und die Alertansicht kennenlernen – kostenlos und ohne Risiko
- Interaktiv lernen: Die GitHub Skills Challenges direkt auf GitHub nutzen – “Introduction to Secret Scanning”, “Secure your repository’s supply chain” und “Introduction to CodeQL” sind interaktive, kostenfreie Labs
- Team-Prozess definieren: Festlegen, wie Dependabot-PRs reviewt und gemergt werden – am besten als Teil des bestehenden PR-Review-Prozesses dokumentieren
- Weiterbildung strukturieren: Für Teams, die systematisch in sichere Softwareentwicklung investieren wollen, bietet sich ein dediziertes Git- und Security-Training an, bevor GHAS auf Organisation-Ebene ausgerollt wird
