Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Aktuelle Informationen findest du in der englischsprachigen Dokumentation.
All products
Codesicherheit

Verwalten von Warnungen aus der Geheimnisüberprüfung

In diesem Artikel

Du kannst Warnungen für Geheimnisse, die in deinem Repository geprüft wurden, anzeigen und schließen.

Wer kann dieses Feature verwenden?

People with admin access to a public repository can view and dismiss secret scanning alerts for the repository.

Warnungen zur Geheimnisüberprüfung für Partner wird automatisch in öffentlichen Repositorys ausgeführt, um Dienstanbieter über Geheimnislecks auf GitHub.com zu informieren.

Warnungen zur Geheimnisüberprüfung für Benutzerinnen sind in allen öffentlichen Repositorys kostenlos verfügbar. Organisationen, die GitHub Enterprise Cloud mit einer Lizenz für GitHub Advanced Security verwenden, können Warnungen zur Geheimnisüberprüfung für Benutzerinnen für ihre privaten und internen Repositorys aktivieren. Weitere Informationen findest du unter Informationen zur Geheimnisüberprüfung und Informationen zu GitHub Advanced Security.

Verwalten von Warnungen zur Geheimnisüberprüfung

Hinweis: Warnungen werden nur für Repositorys erstellt, bei denen Warnungen zur Geheimnisüberprüfung für Benutzer*innen aktiviert ist. Geheimnisse, die in öffentlichen Repositorys mit dem kostenlosen Dienst Warnungen zur Geheimnisüberprüfung für Partner gefunden werden, werden direkt dem Partner gemeldet, ohne dass eine Warnung erstellt wird. Weitere Informationen findest du unter Geheimnisüberprüfungsmuster.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys. 1. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus. Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  2. Klicke auf der linken Randleiste unter „Sicherheitsrisikowarnungen“ auf Secret scanning .

  3. Klicke unter „Secret scanning“ auf die Warnung, die du anzeigen möchtest.

  4. Wenn es sich bei dem kompromittierten Geheimnis um ein GitHub-Token handelt, überprüfe optional die Gültigkeit des Geheimnisses, und führe die Korrekturschritte aus.

    Screenshot der Benutzeroberfläche für ein GitHub-Token mit der Gültigkeitsprüfung und den vorgeschlagenen Korrekturschritten.

    Note: Die Gültigkeitsüberprüfung für GitHub-Token befindet sich derzeit in der öffentlichen Betaversion und kann noch geändert werden.

    GitHub stellt nur für GitHub-Token Informationen zur Gültigkeit des Geheimnisses bereit.

    GültigkeitsdauerErgebnis
    Aktives GeheimnisGitHub hat bestätigt, dass dieses Geheimnis aktiv ist.
    Aktives GeheimnisGitHub hat beim Anbieter dieses Geheimnisses nachgefragt und ermittelt, dass dieses Geheimnis aktiv ist.
    Möglicherweise aktives GeheimnisGitHub bietet noch keine Gültigkeitsüberprüfungen für diesen Tokentyp.
    Möglicherweise aktives GeheimnisGitHub konnte dieses Geheimnis nicht überprüfen.
    Geheimnis wird als inaktiv angezeigtDu solltest sicherstellen, dass noch kein unautorisierter Zugriff erfolgt ist.

  5. Um eine Warnung zu schließen, wähle das Dropdownmenü „Schließen als“ aus, und klicke auf einen Grund zum Beheben einer Warnung.

    Screenshot: Dropdownmenü zum Schließen einer Warnung von secret scanning mit einem Link zur Partnerdokumentation

  6. Füge optional im Feld „Kommentar“ einen Kommentar zum Schließen der Warnung hinzu. Der Kommentar zum Schließen wird der Zeitleiste der Warnung hinzugefügt und kann bei Prüfungen und Berichterstellungen als Begründung verwendet werden. Du kannst den Verlauf aller geschlossenen Warnungen und zugehörigen Kommentare in der Zeitachse der Warnungen einsehen. Du kannst auch mithilfe der Secret scanning-API einen Kommentar abrufen oder festlegen. Der Kommentar ist im Feld resolution_comment enthalten. Weitere Informationen findest du in der REST-API-Dokumentation unter Geheime Überprüfung.

  7. Klicke auf Warnung schließen.

Kompromittierte Geheimnisse sichern

Sobald ein Geheimnis an ein Repository übergeben wurde, solltest du das Geheimnis als kompromittiert betrachten. GitHub empfiehlt die folgenden Aktionen für kompromittierte Geheimnisse:

  • Lösche bei einem kompromittierten persönlichen Zugriffstoken für GitHub personal access token das kompromittierte Token, erstelle ein neues Token und aktualisiere alle Dienste, die das alte Token verwenden. Weitere Informationen findest du unter Erstellen eines persönlichen Zugriffstokens.

  • Für alle anderen Geheimnisse überprüfe zuerst, dass das per Commit an GitHub übergebene Geheimnis gültig ist. Wenn dies der Fall ist, erstelle ein neues Geheimnis, aktualisiere alle Dienste, die das alte Geheimnis verwenden, und lösche dann das alte Geheimnis.

Hinweis: Wenn ein Geheimnis in einem öffentlichen Repository auf GitHub.com erkannt wird und das Geheimnis auch einem Partnermuster entspricht, wird eine Warnung generiert, und das potenzielle Geheimnis wird dem Dienstanbieter gemeldet. Details zu Partnermustern findest du unter Geheimnisüberprüfungsmuster.

Konfigurieren von Benachrichtigungen für Warnungen zur Geheimnisüberprüfung

Wenn ein neues Geheimnis erkannt wird, benachrichtigt GitHub alle Benutzer mit Zugriff auf Sicherheitswarnungen für das Repository entsprechend ihren Benachrichtigungseinstellungen. Du erhältst eine E-Mail-Benachrichtigung, wenn du das Repository beobachtest, Benachrichtigungen für Sicherheitswarnungen oder für alle Aktivitäten im Repository aktiviert hast oder den Commit mit dem Geheimnis erstellt hast und das Repository nicht ignorierst.

Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Benachrichtigungen konfigurieren.

Überwachungsantworten auf Warnungen zur Geheimnisüberprüfung

Du kannst die Aktionen, die als Reaktion auf secret scanning-Warnungen ergriffen wurden, mit GitHub-Tools überprüfen. Weitere Informationen findest du unter Prüfen von Sicherheitswarnungen.