Pushschutz für Repositorys und Organisationen

With push protection for repositories and organizations, secret scanning blocks contributors from pushing secrets to a repository and generates an alert whenever a contributor bypasses the block.

Wer kann dieses Feature verwenden?

Push-Schutz für Repositorys und Organisationen ist für öffentliche Repositorys kostenlos verfügbar. Organisationen, die GitHub Enterprise Cloud mit einer Lizenz für GitHub Advanced Security verwenden, können den Pushschutz auch für ihre privaten und internen Repositorys aktivieren.

In diesem Artikel

Informationen zum Pushschutz für Repositorys und Organisationen

Bisher hat secret scanning nach einem Push nach Geheimnissen gesucht und Benutzer über kompromittierte Geheimnisse benachrichtigt. Wenn Sie den Pushschutz für Ihre Organisation oder Ihr Repository aktivieren, prüft secret scanning auch Pushnachrichten auf auf unterstützte Geheimnisse. Secret scanning listet alle erkannten Geheimnisse auf, sodass der Autor die Geheimnisse überprüfen und entfernen oder, falls benötigt, die Weitergabe dieser Geheimnisse per Push erlauben kann.

Wenn Mitwirkende einen Pushschutzblock für ein Geheimnis umgehen, werden in GitHub folgende Schritte ausgeführt:

  • Erstellen einer Warnung auf der Registerkarte Sicherheit des Repositorys.
  • Hinzufügen des Umgehungsereignisses zum Überwachungsprotokoll
  • Senden einer E-Mail-Warnung an Besitzerinnen eines Organisationskontos oder eines persönlichen Kontos, Sicherheitsmanagerinnen und Repositoryadministrator*innen, die das Repository beobachten, die einen Link zum Geheimnis und den Grund enthält, warum es zugelassen wurde

Diese Tabelle zeigt das Verhalten von Warnungen für die einzelnen Methoden, mit denen ein Benutzer einen Pushschutzblock umgehen kann.

Grund der UmgehungWarnungsverhalten
Wird in Tests verwendet.GitHub erstellt eine geschlossene Warnung, die als „In Tests verwendet“ aufgelöst wurde.
Ist ein falsch positives Ergebnis.GitHub erstellt eine geschlossene Warnung, die als „False Positive“ aufgelöst wurde.
Wird später behoben.GitHub erstellt eine offene Warnung.

Auf der Warnungsseite „secret scanning“ für ein Repository oder eine Organisation können Sie den bypassed:true-Filter anwenden, um leicht zu erkennen, welche Warnungen das Ergebnis der Umgehung des Push-Schutzes durch einen Benutzer sind. Weitere Informationen zur Anzeige dieser Warnmeldungen finden Sie unter „Verwalten von Warnungen aus der Geheimnisüberprüfung.“

Du kannst Sicherheitswarnungen überwachen, um festzustellen, wann Benutzer*innen Pushschutzmaßnahmen umgehen und Warnungen generieren. Weitere Informationen findest du unter Prüfen von Sicherheitswarnungen.

Hinweis: Der webbasierte Editor github.dev unterstützt keinen Pushschutz. Weitere Informationen zum Editor findest du unter Der webbasierte github.dev-Editor.

Weitere Informationen zu Geheimnissen und Dienstanbietern, für die der Pushschutz unterstützt wird, findest du unter Geheimnisüberprüfungsmuster.

Aktivieren von secret scanning als Pushschutz

Damit du secret scanning als Pushschutz in öffentlichen Repositorys verwenden kannst, muss für die Organisation oder das Repository secret scanning aktiviert sein. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation, Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und Informationen zu GitHub Advanced Security.

Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Repositoryadministrator*innen können zudem den Pushschutz für secret scanning über die API aktivieren. Weitere Informationen findest du unter „REST-API-Endpunkte für Repositorys“. Erweitere den Abschnitt „Eigenschaften des security_and_analysis-Objekts“.

Organisationsbesitzer*innen können einen benutzerdefinierten Link bereitstellen, der angezeigt wird, wenn ein Push blockiert wird. Dieser benutzerdefinierte Link kann organisationsspezifische Ressourcen und Ratschläge enthalten, z. B. Anweisungen zur Verwendung eines empfohlenen Tresors für Geheimnisse, oder wer zu Fragen im Zusammenhang mit dem blockierten Geheimnis kontaktiert werden kann.

Sie können den Push-Schutz auch für alle Ihre bestehenden öffentlichen Repositorys über Ihre persönlichen Kontoeinstellungen aktivieren. Für alle neuen öffentlichen Repositorys, die Sie erstellen, wird der Push-Schutz standardmäßig aktiviert. Weitere Informationen findest du unter Konfigurieren der Geheimnisüberprüfung für deine Repositorys.

Hinweis: Wenn Sie ein Repository mit secret scanning als aktivierten Push-Schutz forken, ist dies nicht standardmäßig für den Fork aktiviert. Die Aktivierung für den Fork ist auf die gleiche Weise möglich wie für ein eigenständiges Repository.

Aktivieren von secret scanning als Pushschutz für eine Organisation

Du kannst die Organisationseinstellungsseite für „Codesicherheit und -analyse“ verwenden, um secret scanning als Pushschutz für alle vorhandenen Repositorys in einer Organisation zu aktivieren oder zu deaktivieren.

  1. Navigiere auf GitHub.com zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option Einstellungen. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot der Registerkarten im Profil einer Organisation. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

Note

Wenn Ihre Organisation in den öffentlichen Beta für security configurations und global settings registriert ist, wird anstelle von "Codesicherheit und Analyse" ein Dropdownmenü "Codesicherheit" angezeigt. Wählen Sie Codesicherheit aus, und klicken Sie dann auf Konfigurationen. Die nächsten Schritte zum Aktivieren des Pushschutzes und anderer Sicherheitsfeatures mit security configurations finden Sie unter „Anwendung der von GitHub empfohlenen Sicherheitskonfiguration in Ihrer Organisation“.

  1. Suche unter „Codesicherheit und Analyse“ GitHub Advanced Security".

  2. Klicke unter „Secret scanning“ unter „Pushschutz“ auf Alle aktivieren.

  3. Klicken Sie optional auf Automatisch für zu secret scanning hinzugefügte Repositorys aktivieren.

  4. Wenn du optional einen benutzerdefinierten Link in die Nachricht einfügen möchtest, die Mitgliedern bei dem Versuch zum Pushen eines Geheimnisses angezeigt wird, wähle Ressourcenlink in CLI und Webbenutzeroberfläche hinzufügen, wenn ein Commit blockiert ist aus, gib eine URL ein, und klicke auf Link speichern.

    Screenshot des Abschnitts „Pushschutz“ der Seite „Codesicherheit und -analyse“. Das Kontrollkästchen „Ressourcenlink in der CLI und der Webbenutzeroberfläche hinzufügen, wenn ein Commit blockiert wird“ und das benutzerdefinierte Linktextfeld sind dunkelorange umrandet.

Weitere Informationen zum Aktivieren von Sicherheitsfeatures in einer Organisation findest du unter „Schnellstart für die Sicherung Ihrer Organisation“.

Aktivieren von secret scanning als Pushschutz für ein Repository

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Suche unter „Codesicherheit und Analyse“ GitHub Advanced Security".

  5. Klicke unter „Secret scanning“ unter „Pushschutz“ auf Aktivieren.

Weiterführende Themen