Der erste Schritt besteht darin, zu lernen, wie man einen Zweig in GitHub erstellt. Das sichere Zusammenführen von Zweigen in GitHub ist jedoch für jeden Zweig ebenso wichtig. GitHub Workflow. In diesem Beitrag führen wir Sie durch den gesamten Prozess, beginnend mit So erstellen Sie einen Zweig in GitHub und dann zeigt es dir So führen Sie Zweige in GitHub zusammen sicher. Wir erklären auch, wie Sie einen Merge abbrechen, wenn Sie auf Probleme stoßen, und schließlich, wie Xygeni Ihnen helfen kann, jedes Problem zu erkennen, bevor es in Ihren Hauptzweig gelangt.
Gehen wir es Schritt für Schritt durch.
1. So erstellen Sie richtig einen Zweig in GitHub
Jeder sichere Workflow beginnt mit der Erstellung eines Zweigs in GitHub. Entwickler können so Funktionen, Fehlerbehebungen oder Experimente isolieren, ohne den Produktionscode zu beeinträchtigen.
So erstellen Sie einen Zweig in GitHub:
1. Navigieren Sie zu Ihrem Repository
2. Klicken Sie auf das Dropdown-Menü zur Zweigstellenauswahl
3. Geben Sie den Namen Ihrer neuen Filiale ein
4 Klicken Zweig erstellen
Von hier aus ist Ihr neuer Zweig einsatzbereit. Sie können nun Code pushen, gemeinsam an Änderungen arbeiten und schließlich einen pull requestObwohl dies eine grundlegende GitHub-Aktion ist, schafft sie die Voraussetzungen für eine sichere Entwicklung.
Wichtig ist, dass jedes Mal, wenn Sie einen Zweig in GitHub erstellen, dieser Teil eines wiederholbaren und geschützten Workflows sein sollte.
2. Scannen Pull Requests Automatisch vor dem Zusammenführen
Wenn Sie einen Zweig in GitHub erstellen und die Überprüfung vorbereiten, müssen Sie im nächsten Schritt verstehen, wie Sie Zweige in GitHub sicher zusammenführen. Jeder GitHub-Push sollte automatisierte Prüfungen auslösen. Vor dem Zusammenführen ist es jedoch wichtig, überprüfen zur Abwicklung, Integrierung, Speicherung und Der Code führt keine Sicherheitslücken ein. Eine einzige unsichere commit kann Ihre Anwendung offenlegen, leak secrets oder die kritische Infrastruktur lahmlegen.
Das Mergen von Code in Ihren Hauptzweig ist ein schwerwiegender Vorgang. Ohne entsprechende Kontrollen kann dies schwerwiegende Folgen haben, beispielsweise:
- Zero-Day-Schwachstellen in die Produktion einsteigen
- Bekannt CVEs eingeführt durch Open Source-Pakete
- Fest codierte Geheimnisse in das Repository gepusht
- Fehlkonfigurationen der Infrastruktur die Ihre Abwehrkräfte schwächen
- Schädlicher oder manipulierter Code Eingabe durch Abhängigkeiten
Hier macht Xygeni einen echten Unterschied
Durch die Nutzung GitHub-Aktionenkönnen Sie auslösen automatisierte Xygeni-Scans immer wenn ein Entwickler eine pull request in einen geschützten Zweig. Ein geschützter Zweig in GitHub erfordert bestimmte Prüfungen oder Genehmigungen, bevor Änderungen zusammengeführt werden dürfen.
Xygeni analysiert die letzte Ausführung der pull request Arbeitsablauf. um die Sicherheitslage der vorgeschlagenen Änderungen zu validieren. Dazu gehört die Überprüfung auf Probleme im Code, Abhängigkeiten, Geheimnisse und CI/CD Konfigurationen. Der gesamte Zweig wird nicht erneut gescannt, aber das aktuellste Workflow-Ergebnis wird verwendet, um Richtlinien durchzusetzen und unsichere Zusammenführungen zu blockieren.
Diese Scans bestätigen, dass der Code sicher und produktionsbereit ist. Sie erkennen:
- Code-Schwachstellen (SAST)
- Anfällige Open-Source-Pakete (SCA)
- Fest codierte Geheimnisse
- IaC Fehlkonfigurationen
- Mögliche Schadsoftware
Integration Diese Kontrollen sorgen frühzeitig dafür, dass jedes Mal, wenn Sie einen Zweig in GitHub erstellen und die Zusammenführung vorbereiten, Sie dies mit volle Transparenz und Kontrolle.
Hier ist eine vereinfachte Einrichtung:
on:
pull_request:
branches: [ main ]
jobs:
xygeni-scan:
runs-on: ubuntu-latest
steps:
- name: Checkout
uses: actions/checkout@v3
- name: Xygeni Scanner
uses: xygeni/xygeni-action@3.2.0
with:
token: ${{ secrets.XYGENI_TOKEN }}3. Blockieren Sie unsichere Zusammenführungen mit Guardrails
GuardrailsStellen Sie sicher, dass beim Erstellen eines Zweigs in GitHub oder beim Zusammenführen von Zweigen in GitHub nur sichere Änderungen in Ihr GitHub-Setup des Hauptzweigs gelangen. Xygeni bietet Ihnen volle Kontrolle darüber, was zusammengeführt wirdSie können Voreinstellungen definierencisRegeln, die auf Ihre Sicherheitsrichtlinien und Risikotoleranz zugeschnitten sind. Zum Beispiel:
- Blockieren, wenn ein kritisches Geheimnis gefunden wird (z. B. AWS-Schlüssel, Token)
- Der Build schlägt fehl wenn eine neue Hochrisiko Open-Source-Paket wird eingeführt
- Ablehnen pull requests zur Abwicklung, Integrierung, Speicherung und sensible Pfade ändern Google Trends, Amazons Bestseller
.github/workflows/,infrastructure/densecrets.env - Zusammenführungen verhindern wenn eine Downgrade führt wieder ein bekannt Schwachstellen
- Blockieren CI/CD Konfigurationsänderungen es sei denn, sie sind ordnungsgemäß gekennzeichnet
- Stoppen Sie die Zusammenführung, wenn SAST erkennt hohe oder kritische Fragen
- Strengere Anwendung Guardrails auf Produktionszweige bei gleichzeitiger Wahrung der Flexibilität in der Entwicklung
Diese Regeln fungieren als automatisierte Gatekeeper. Sie helfen Ihrem Team, nur sichere Daten zusammenzuführen – ohne Überraschungen, ohne manuelle Überprüfungen und ohne Last-Minute-Eingriffe.
Beispiel einer Leitplankenregel:
guardrail block_critical_secrets
on secrets
when severity = critical
then @fail()Visuelles Feedback im Dashboard
Um vollständige Transparenz zu gewährleisten, zeigt Xygeni das Ergebnis der letzten Bewertung des Leitplankenstatus an.
- Zunächst, ein grünes Symbol bedeutet, dass alle Richtlinien verabschiedet wurden.
- Im Gegensatzzeigt ein rotes Symbol an, dass eine oder mehrere Leitplankenbedingungen verletzt wurden.
Dadurch erhalten sowohl Entwickler als auch Sicherheitsteams sofort Einblick in die Gründe für die Blockierung einer Zusammenführung, ohne in CI-Protokollen herumwühlen zu müssen.
Reales Beispiel aus der Dashboard:
Nehmen wir zum Beispiel an, ein Repository hat keine geschützten Zweige, eine häufige Fehlkonfiguration, die es Entwicklern ermöglicht, commits ohne Überprüfung. Das ist ein ernstes Risiko.
Xygeni erkennt dies automatisch und markiert es als unterzeichnet_commits Problem unter der CI/CD Kategorie. Das dashboard Höhepunkte:
- Severity: Hoch
- Typ: Unterzeichnet Commits
- Erläuterung: Das Repository hat keine geschützten Zweige
- Status: Öffne
Daher können Teams mit diesem kontextreichen Feedback das Risiko schnell identifizieren, seine Auswirkungen verstehen und Korrekturmaßnahmen ergreifen – alles über die Xygeni-Benutzeroberfläche.
Anpassen Durchsetzungsverhalten
Sie haben immer die Kontrolle. Wählen Sie, wie streng Guardrails sollte sein:
--fail-on=critical: Blockieren Sie Zusammenführungen nur bei schwerwiegenden Befunden--never-fail: Führen Sie Guardrails im Probelaufmodus, um Richtlinien vor der Durchsetzung zu testen
Wenn Sie also das nächste Mal einen Zweig in GitHub erstellen, Guardrails sind bereits da und schützen Ihre pipeline und setzt Ihre Richtlinien automatisch durch.
4. Zusammenführung in GitHub automatisch abbrechen, wenn Risiken gefunden werden
Wenn Risiken erkannt werden, wird die Zusammenführung abgebrochen. Diese Sicherheitsmaßnahme schützt alle Zweige von GitHub-Projekten und setzt Best Practices für die Zusammenführung von Zweigen in GitHub durch.
Xygeni integriert sich direkt in die GitHub-Benutzeroberfläche. Wenn ein Risiko gefunden wird:
- GitHub zeigt die Prüfung als fehlgeschlagen an
- GitHubs Schutzmaßnahmen verhindern die Zusammenführung
- Die Zusammenführungswarteschlange überspringt unsicheren Code
Ob es sich um ein Geheimnis, CVE oder gefährlich handelt CI/CD Muster, das Ergebnis ist das gleiche: die Zusammenführung wird in GitHub abgebrochen und zur Überprüfung markiert.
Sie können detaillierte Ergebnisse auch in Xygeni anzeigen:
- Der Sicherheitsstatus jeder Filiale
- Warum eine Zusammenführung blockiert wurde
- Vollständiger Scanverlauf
- Der Leitplankenstatus wird durch grüne (bestanden) oder rote (nicht bestanden) Symbole auf der Projektseite angezeigt.
Dieses visuelle Feedback erleichtert Entwicklern und Sicherheitsteams das sichere Handeln. Und falls Sie einen tieferen Kontext benötigen, ist jedes Problem mit einer Dokumentation verknüpft, die Schweregrad, Tags, Standort und Hinweise zur Problembehebung enthält.
Tldr Nur zusammenführen, was sicher ist
Zusammenfassend können Sie nach dem Erstellen eines Zweigs in GitHub Folgendes tun:
- Erstellen Sie einen Zweig in GitHub über die Benutzeroberfläche
- Automatische Scans auslösen mit jedem pull request mit Xygeni
- Blockieren Sie unsichere Zusammenführungen mit Guardrails
- Verwenden Sie serverseitige Audit-Richtlinien für eine umfassendere Kontrolle
- Brechen Sie die Zusammenführung in GitHub ab, wenn etwas fehlschlägt
- Visualisieren Sie alle Ergebnisse in Xygenis dashboard
Weitere Best Practices zum Schutz von Repositorys finden Sie in unserem Häufig gestellte Fragen zur GitHub-Sicherheit: Was jeder Entwickler wissen sollte.
Obwohl das Zusammenführen ein grundlegender Vorgang ist, erfordert die sichere Durchführung echte Transparenz und Automatisierung. Mit Xygeni führen Sie nicht nur Code zusammen, sondern auch Vertrauen.
Schützen Sie jeden GitHub-Zweig zuverlässig
Ein einziges übersehenes Problem in einem pull request kann Ihren Hauptzweig gefährden. Herkömmliche Scanner arbeiten oft zu spät, übersehen kritische Risiken oder setzen keine sinnvollen Richtlinien durch.
Aus diesem Grund ist zum Schutz Ihrer GitHub-Zweige mehr erforderlich als nur das Scannen.
Xygeni sorgt für echte Durchsetzung. Wenn eine pull request zielt auf einen geschützten Zweig, Xygeni analysiert die letzte Ausführung Ihrer CI/CD Workflow. Es scannt nicht den gesamten Zweig erneut. Stattdessen werden die neuesten Ergebnisse ausgewertet, um Code, Abhängigkeiten, Geheimnisse und Workflow-Konfigurationen auf Sicherheitsprobleme zu prüfen. Sie werden nicht nur benachrichtigt. Sie sind geschützt.
Was macht es anders:
- Vollständige Kontextvalidierung: Guardrails Setzen Sie Richtlinien mithilfe umfassender Kontextinformationen wie Schweregrad, Ausnutzbarkeit und Zweigmetadaten durch.
- Integrierte GitHub-Integration: Vom Scannen bis zur Durchsetzung läuft alles nativ in Ihren GitHub-Workflows, ohne dass benutzerdefinierte Skripte oder Klebecode erforderlich sind.
- Serverseitige Audits: Serverseitig Guardrails Validieren Sie die Ergebnisse nach dem Hochladen und fügen Sie eine zweite Kontrollebene außerhalb der pipeline.
Anstatt sich darauf zu verlassen, dass Ihr CI-Setup alles erfasst, wendet Xygeni automatisierte, richtlinienbasierte DecisIonen, bevor irgendetwas Ihren Hauptzweig erreicht.
Obwohl das Zusammenführen ein grundlegender Vorgang ist, erfordert die sichere Durchführung echte Transparenz und Automatisierung. Mit Xygeni schützen Sie nicht nur Ihre Repos, sondern jeden einzelnen GitHub-Zweig zuverlässig.
