Informationen zu secret scanning
Wenn dein Projekt mit einem externen Dienst kommuniziert, verwende allenfalls ein Token oder einen privaten Schlüssel für die Authentifizierung. Token und private Schlüssel sind Beispiele für Geheimnisse, die ein Dienstanbieter ausstellen kann. Wenn du ein Geheimnis in ein Repository einfügst, kann jedermann mit Lesezugriff auf das Repository das Geheimnis verwenden, um mit deinen Privilegien auf den externen Dienst zuzugreifen. Wir empfehlen, dass du Geheimnisse an einem dedizierten, sicheren Ort außerhalb deines Projekt-Repositorys speicherst.
Secret scanning überprüft den gesamten Git-Verlauf aller Branches in deinem GitHub-Repository auf Geheimnisse.
Secret scanning steht auf GitHub.com in zwei Formen zur Verfügung:
-
Warnungen zur Geheimnisüberprüfung für Partner. Wird automatisch für alle öffentlichen Repositorys und öffentlichen npm-Pakete ausgeführt. Alle Zeichenfolgen, die mit Mustern übereinstimmen, die von Partnern für die Geheimnisüberprüfung angegeben wurden, werden direkt an den jeweiligen Partner gemeldet. Weitere Informationen findest du im nachstehenden Abschnitt Informationen zu Warnungen zur Geheimnisüberprüfung für Partner.
-
Warnungen zur Geheimnisüberprüfung für Benutzer*innen. Die folgenden Benutzer können zusätzliche Überprüfungen aktivieren und konfigurieren:
- Besitzer von Repositorys für GitHub.com, für alle öffentlichen Repositorys, die sie besitzen.
- Organisationen im Besitz öffentlicher Repositorys, für ein beliebiges dieser Repositorys.
- Organisationen, die GitHub Enterprise Cloud nutzen, für öffentliche Repositorys (kostenlos) sowie für private und interne Repositorys, wenn du über eine Lizenz für GitHub Advanced Security verfügst.
Für alle Zeichenfolgen, die mit Mustern übereinstimmen, die von Partnern für die Geheimnisüberprüfung oder anderen Dienstanbietern angegeben oder von dir oder deiner Organisation definiert wurden, werden Warnmeldungen auf der Registerkarte Sicherheit der Repositorys angezeigt. Wenn eine Zeichenfolge in einem öffentlichen Repository mit einem Muster eines Partners übereinstimmt, wird dies auch an den Partner gemeldet. Weitere Informationen findest du im nachstehenden Abschnitt Informationen zu Warnungen zur Geheimnisüberprüfung für Benutzer*innen.
Du kannst die Aktionen, die als Reaktion auf secret scanning-Warnungen ergriffen wurden, mit GitHub-Tools überprüfen. Weitere Informationen findest du unter Prüfen von Sicherheitswarnungen.
Dienstleister können mit GitHub zusammenarbeiten, um ihre geheimen Formate zum Durchsuchen bereitzustellen. Informationen zu unserem Partnerprogramm findest du unter Partnerprogramm für die Geheimnisüberprüfung.
Du kannst secret scanning auch als Pushschutz für ein Repository oder eine Organisation aktivieren. Wenn du dieses Feature aktivierst, verhindert secret scanning, dass Mitwirkende Code mit einem erkannten Geheimnis pushen. Um fortzufahren, müssen die Mitwirkenden entweder das Geheimnis aus dem Push entfernen oder ggf. den Schutz umgehen. Administratoren können außerdem einen benutzerdefinierten Link angeben, der dem Mitwirkenden angezeigt wird, wenn ein Push blockiert wird.Der Link kann organisationsspezifische Ressourcen enthalten, um den Mitwirkenden zu helfen. Weitere Informationen findest du unter Schützen von Pushes mit der Geheimnisüberprüfung.
Informationen zu Warnungen zur Geheimnisüberprüfung für Partner
Wenn du ein Repository als öffentlich kennzeichnest oder Änderungen an einem öffentlichen Repository vornimmst, durchsucht GitHub den Code immer nach Geheimnissen, die dem Partnermuster entsprechen. Öffentliche Pakete in der npm-Registrierung werden ebenfalls überprüft. Wenn secret scanning ein potenzielles Geheimnis ermittelt, benachrichtigen wir den Dienstanbieter, der das Geheimnis ausgegeben hat. Der Dienstanbieter überprüft die Zeichenfolge und entscheidet dann, ob er das Geheimnis widerrufen, ein neues Geheimnis ausstellen oder sich direkt an dich wenden soll. Die Maßnahmen hängen von den Risiken ab, die für dich oder sie bestehen. Weitere Informationen findest du unter Geheimnisüberprüfungsmuster.
Du kannst die Konfiguration der secret scanning für Muster von Partnern in öffentlichen Repositorys nicht ändern.
Informationen zu Warnungen zur Geheimnisüberprüfung für Benutzer*innen
Warnungen zur Geheimnisüberprüfung für Benutzerinnen sind kostenlos für alle öffentlichen Repositorys verfügbar. Wenn du secret scanning für ein Repository aktivierst, überprüft GitHub den Code auf Muster, die von vielen Dienstanbietern verwendeten Geheimnissen entsprechen. Wenn die Überprüfung abgeschlossen ist, sendet GitHub auch dann eine E-Mail-Warnung an die Unternehmens- und Organisationsbesitzerinnen, wenn keine Geheimnisse gefunden wurden.
Wenn ein unterstütztes Geheimnis geleakt wurde, erzeugt GitHub eine secret scanning-Warnung. GitHub führt außerdem in regelmäßigen Abständen eine vollständige Überprüfung des Git-Verlaufs der vorhandenen Inhalte in öffentlichen Repositorys durch, in denen secret scanning aktiviert ist, und sendet Warnmeldungen gemäß den Einstellungen für secret scanning-Warnmeldungen. Weitere Informationen findest du unter Unterstützte Geheimnisse für Benutzerwarnungen.
Als Repositoryadministrator kannst du Warnungen zur Geheimnisüberprüfung für Benutzerinnen für ein beliebiges öffentliches Repository. Organisationsbesitzer können Warnungen zur Geheimnisüberprüfung für Benutzerinnen auch für alle öffentlichen Repositorys oder für alle neuen öffentlichen Repositorys innerhalb einer Organisation aktivieren. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.
Du kannst außerdem benutzerdefinierte secret scanning-Muster für ein Repository, deine Organisation oder dein Unternehmen definieren. Weitere Informationen findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung in der GitHub Enterprise Cloud-Dokumentation.
GitHub speichert sowohl bei der Übertragung als auch im Ruhezustand erkannte Geheimnisse mit symmetrischer Verschlüsselung.
Zugreifen auf Warnungen zur Geheimnisüberprüfung
Wenn du secret scanning für ein Repository aktivierst oder Commits in ein Repository pushst, wobei secret scanning aktiviert ist, überprüft GitHub den Inhalt dieser Commits auf Geheimnisse, die mit den von den Dienstanbietern definierten Mustern übereinstimmen. GitHub führt außerdem eine Überprüfung aller historischen Codeinhalte in öffentlichen Repositorys durch, in denen secret scanning aktiviert ist, wenn ein neues Partnermuster hinzugefügt oder aktualisiert wird.
Wenn secret scanning ein Geheimnis erkennt, generiert GitHub eine Warnung.
- GitHub sendet E-Mail-Warnungen zu den Repository-Administratoren und den Organisations-Inhabern. Du erhältst eine Warnung, wenn du das Repository überwachst, wenn du Benachrichtigungen entweder für Sicherheitswarnungen oder für alle Aktivitäten im Repository aktiviert hast und wenn du in deinen Benachrichtigungseinstellungen ausgewählt hast, dass du E-Mail-Benachrichtigungen für die zu beobachtenden Repositorys erhalten möchtest.
- Wenn der/die Mitwirkende, der oder die das Geheimnis committet hat, das Repository nicht ignoriert, sendet GitHub ebenfalls eine E-Mail-Warnung an den/die Mitwirkende*n. Die E-Mails enthalten einen Link zur entsprechenden secret scanning-Warnung. Der Commitautor kann die Warnung dann im Repository anzeigen und die Warnung auflösen.
- GitHub zeigt eine Warnung auf der Registerkarte Sicherheit des Repositorys an.
Weitere Informationen zum Anzeigen und Auflösen von Warnungen zur Geheimnisüberprüfung findest du unter Verwalten von Warnungen aus der Geheimnisüberprüfung.
Weitere Informationen zum Konfigurieren von Benachrichtigungen für Warnungen zur Geheimnisüberprüfung findest du unter Konfigurieren von Benachrichtigungen für Warnungen zur Geheimnisüberprüfung.
Repositoryadministratoren und Organisationsbesitzer können Benutzern und Teams Zugriff auf Warnungen zur Geheimnisüberprüfung gewähren. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.
Du kannst auch die REST-API verwenden, um die Ergebnisse der secret scanning in deinen Repositorys zu überwachen. Weitere Informationen zu API-Endpunkten findest du unter Geheime Überprüfung.