Referenzen zu Geheimnissen

Hier findest du technische Informationen zu Geheimnissen in GitHub Actions.

In diesem Artikel

Benennen deiner Geheimnisse

Tipp

Damit GitHub deine Geheimnisse in Protokollen korrekt redigiert, verwende keine strukturierten Daten als Werte von Geheimnissen.

Für Geheimnisnamen gelten folgende Regeln:

  • Darf nur alphanumerische Zeichen ([a-z], [A-Z], [0-9]) oder Unterstriche (_) enthalten Leerzeichen sind nicht zulässig.
  • darf nicht mit dem GITHUB_-Präfix beginnen.
  • darf nicht mit einer Zahl beginnen.
  • Bei Verweisen wird die Groß-/Kleinschreibung nicht beachtet. GitHub speichert Geheimnisnamen unabhängig davon, wie sie eingegeben werden.
  • Müssen für das Repository, die Organisation oder das Unternehmen eindeutig sein, in dem bzw. der sie erstellt werden

Wenn ein Geheimnis mit demselben Namen auf mehreren Ebenen vorhanden ist, erhält das Geheimnis auf der niedrigsten Ebene Vorrang. Wenn beispielsweise ein Geheimnis auf Organisationsebene denselben Namen wie ein Geheimnis auf Repositoryebene aufweist, erhält das Geheimnis auf Repositoryebene Vorrang. Analog dazu hat bei einem Geheimnis mit demselben Namen in einer Organisation, einem Repository und einer Umgebung das Geheimnis auf Umgebungsebene Vorrang.

Einschränkungen für Geheimnisse

Du kannst bis zu 1.000 Organisationsgeheimnisse, 100 Repositorygeheimnisse und 100 Umgebungsgeheimnisse speichern.

Ein Workflow, der in einem Repository erstellt wurde, kann auf die folgende Anzahl von Geheimnissen zugreifen:

  • Alle 100 Repositorygeheimnisse.
  • Wurde dem Repository der Zugriff auf mehr als 100 Geheimnisse auf Organisationsebene zugewiesen, kann der Workflow nur die ersten 100 Organisationsgeheimnisse (alphabetisch nach dem Namen des Geheimnisses sortiert) verwenden.
  • Alle 100 Umgebungsgeheimnisse.

Geheimnisse sind auf 48 KB beschränkt. Informationen zum Speichern größerer Geheimnisse findest du unter Verwenden von Geheimnissen in GitHub-Aktionen.

Wann GitHub Actions Geheimnisse liest

Geheimnisse auf der Organisations- und Repositoryebene werden gelesen, wenn eine Workflowausführung in die Warteschlange eingereiht wird, während Geheimnisse auf der Umgebungsebene beim Starten eines Auftrags gelesen werden, der auf die Umgebung verweist.

Automatisch redigierte Geheimnisse

GitHub redigiert automatisch die folgenden vertraulichen Informationen aus Workflowprotokollen.

Hinweis

Wenn Sie möchten, dass andere Arten vertraulicher Informationen automatisch unkenntlich gemacht werden, wenden Sie sich bitte in unseren Community-Diskussionen an uns.

  • Azure-Schlüssel mit 32 Byte und 64 Byte
  • Azure AD-Client-App-Kennwörter
  • Azure Cache-Schlüssel
  • Azure Container Registry-Schlüssel
  • Azure-Funktions-Host-Schlüssel
  • Azure Search-Schlüssel
  • Datenbankverbindungszeichenfolgen
  • HTTP Bearertoken-Header
  • JWTs
  • NPM-Autorentoken
  • API-Schlüssel für NuGet
  • v1 GitHub-Installationstoken
  • v2 GitHub-Installationstoken (ghp, gho, ghu, ghs, ghr)
  • v2 GitHub-PATs

Sicherheit

Bewährte Sicherheitsmethoden mit Geheimnissen findest du unter Referenz zur sicheren Verwendung.