Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Informationen zur Geheimnisüberprüfung

GitHub überprüft Repositorys auf bekannte Geheimnistypen, um das betrügerische Verwenden von Geheimnissen zu verhindern, die aus Versehen committet wurden.

Secret scanning alerts for partners wird automatisch in öffentlichen Repositorys in allen Produkten auf GitHub.com ausgeführt. Secret scanning alerts for users sind für private Repositorys sowie für Repositorys im Besitz von Organisationen verfügbar, die GitHub Enterprise Cloud verwenden und über eine Lizenz für GitHub Advanced Security verfügen. Weitere Informationen findest du unter Informationen zu secret scanning alerts for users und Informationen zu GitHub Advanced Security.

Informationen zu secret scanning

Wenn dein Projekt mit einem externen Dienst kommuniziert, verwende allenfalls ein Token oder einen privaten Schlüssel für die Authentifizierung. Token und private Schlüssel sind Beispiele für Geheimnisse, die ein Dienstanbieter ausstellen kann. Wenn du ein Geheimnis in ein Repository einfügst, kann jedermann mit Lesezugriff auf das Repository das Geheimnis verwenden, um mit deinen Privilegien auf den externen Dienst zuzugreifen. Wir empfehlen, dass du Geheimnisse an einem dedizierten, sicheren Ort außerhalb deines Projekt-Repositorys speicherst.

Secret scanning überprüft den gesamten Git-Verlauf aller Branches in deinem GitHub-Repository auf Geheimnisse.

Secret scanning steht auf GitHub.com in zwei Formen zur Verfügung:

  1. Secret scanning alerts for partners. Wird automatisch für alle öffentlichen Repositorys ausgeführt. Alle Zeichenfolgen, die mit Mustern übereinstimmen, die von Partnern für die Geheimnisüberprüfung angegeben wurden, werden direkt an den jeweiligen Partner gemeldet. Weitere Informationen findest du im nachstehenden Abschnitt Informationen zu secret scanning alerts for partners.

  2. Secret scanning alerts for users. Die folgenden Benutzer können zusätzliche Überprüfungen aktivieren und konfigurieren:

    • Besitzer von Repositorys für GitHub.com, für alle öffentlichen Repositorys, die sie besitzen.
    • Organisationen im Besitz öffentlicher Repositorys, für ein beliebiges dieser Repositorys.
    • Organisationen, die GitHub Enterprise Cloud mit einer Lizenz für GitHub Advanced Security nutzen, für Repositorys in Besitz der Organisation, einschließlich privater und interner Repositorys.

    Hinweis: Das Feature secret scanning alerts for users ist als Betaversion für Benutzer in GitHub Free-, GitHub Pro- oder GitHub Team-Plänen verfügbar und kann noch geändert werden.

    Für alle Zeichenfolgen, die mit Mustern übereinstimmen, die von Partnern für die Geheimnisüberprüfung oder anderen Dienstanbietern angegeben oder von dir oder deiner Organisation definiert wurden, werden Warnmeldungen auf der Registerkarte Sicherheit der Repositorys angezeigt. Wenn eine Zeichenfolge in einem öffentlichen Repository mit einem Muster eines Partners übereinstimmt, wird dies auch an den Partner gemeldet. Weitere Informationen findest du im nachstehenden Abschnitt Informationen zu secret scanning alerts for users.

Dienstleister können mit GitHub zusammenarbeiten, um ihre geheimen Formate zum Durchsuchen bereitzustellen. Informationen zu unserem Partnerprogramm findest du unter Secret scanning-Partnerprogramm.

Informationen zu secret scanning alerts for partners

Wenn du ein Repository als öffentlich kennzeichnest oder Änderungen an einem öffentlichen Repository vornimmst, durchsucht GitHub den Code immer nach Geheimnissen, die dem Partnermuster entsprechen. Wenn secret scanning ein potenzielles Geheimnis ermittelt, benachrichtigen wir den Dienstanbieter, der das Geheimnis ausgegeben hat. Der Dienstanbieter überprüft die Zeichenfolge und entscheidet dann, ob er das Geheimnis widerrufen, ein neues Geheimnis ausstellen oder sich direkt an dich wenden soll. Die Maßnahmen hängen von den Risiken ab, die für dich oder sie bestehen. Weitere Informationen findest du unter Unterstützte Geheimnisse für Partnerwarnungen.

Du kannst die Konfiguration der secret scanning für Muster von Partnern in öffentlichen Repositorys nicht ändern.

Informationen zu secret scanning alerts for users

Secret scanning alerts for users stehen für alle öffentlichen Repositorys zur Verfügung. Wenn du die secret scanning für ein Repository aktivierst, überprüft GitHub den Code auf Übereinstimmungen mit Geheimnissen, die von vielen Dienstanbietern verwendet werden. Wenn ein unterstütztes Geheimnis geleakt wurde, erzeugt GitHub eine secret scanning-Warnung. Weitere Informationen findest du unter Unterstützte Geheimnisse für Benutzerwarnungen.

Als Repositoryadministrator kannst du secret scanning alerts for users für ein beliebiges öffentliches Repository. Organisationsbesitzer können secret scanning alerts for users auch für alle Repositorys oder für alle neuen Repositorys innerhalb einer Organisation aktivieren. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository oder Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.

GitHub speichert sowohl bei der Übertragung als auch im Ruhezustand erkannte Geheimnisse mit symmetrischer Verschlüsselung.

Zugreifen auf secret scanning alerts

Wenn du secret scanning für ein Repository aktivierst oder Commits in ein Repository pushst, wobei secret scanning aktiviert ist, überprüft GitHub den Inhalt dieser Commits auf Geheimnisse, die mit den von den Dienstanbietern definierten Mustern übereinstimmen.

Wenn secret scanning ein Geheimnis erkennt, generiert GitHub eine Warnung.

  • GitHub sendet E-Mail-Warnungen zu den Repository-Administratoren und den Organisations-Inhabern. Es wird eine Warnung ausgegeben, wenn du das Repository ansiehst und wenn du Benachrichtigungen entweder für Sicherheitswarnungen oder für die gesamte Aktivität im Repository aktiviert hast.
  • Wenn der/die Mitwirkende, der oder die das Geheimnis committet hat, das Repository nicht ignoriert, sendet GitHub ebenfalls eine E-Mail-Warnung an den/die Mitwirkende*n. Die E-Mails enthalten einen Link zur entsprechenden secret scanning-Warnung. Der Commitautor kann die Warnung dann im Repository anzeigen und die Warnung auflösen.
  • GitHub zeigt eine Warnung auf der Registerkarte Sicherheit des Repositorys an.

Weitere Informationen zum Anzeigen und Auflösen von secret scanning alerts findest du unter Verwalten von Warnungen aus der secret scanning.

Repositoryadministratoren und Organisationsbesitzer können Benutzern und Teams Zugriff auf secret scanning alerts gewähren. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.

Du kannst auch die REST-API verwenden, um die Ergebnisse der secret scanning in deinen Repositorys zu überwachen. Weitere Informationen zu API-Endpunkten findest du unterSecret scanning.

Weitere Informationsquellen