Verwalten von Warnungen aus der Geheimnisüberprüfung

In diesem Artikel

Du kannst Warnungen für Geheimnisse, die in deinem Repository geprüft wurden, anzeigen und schließen.

Wer kann dieses Feature verwenden?

People with admin access to a public repository can view and dismiss secret scanning alerts for the repository.

Warnungen zur Geheimnisüberprüfung für Partner wird automatisch in öffentlichen Repositorys und öffentlichen npm-Paketen ausgeführt, um Dienstanbieter über kompromittierte Geheimnisse auf GitHub.com zu informieren.

Warnungen zur Geheimnisüberprüfung für Benutzerinnen sind in allen öffentlichen Repositorys kostenlos verfügbar. Organisationen, die GitHub Enterprise Cloud mit einer Lizenz für GitHub Advanced Security verwenden, können Warnungen zur Geheimnisüberprüfung für Benutzerinnen für ihre privaten und internen Repositorys aktivieren. Weitere Informationen findest du unter Informationen zur Geheimnisüberprüfung und Informationen zu GitHub Advanced Security.

Verwalten von Warnungen zur Geheimnisüberprüfung

Hinweis: Warnungen werden nur für Repositorys erstellt, bei denen Warnungen zur Geheimnisüberprüfung für Benutzer*innen aktiviert ist. Geheimnisse, die in öffentlichen Repositorys und öffentlichen npm-Paketen mit dem kostenlosen Dienst Warnungen zur Geheimnisüberprüfung für Partner gefunden werden, werden direkt dem Partner gemeldet, ohne dass eine Warnung erstellt wird. Weitere Informationen findest du unter Geheimnisüberprüfungsmuster.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus. Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicke auf der linken Randleiste unter „Sicherheitsrisikowarnungen“ auf Secret scanning .

  4. Klicke unter „Secret scanning“ auf die Warnung, die du anzeigen möchtest.

  5. Optional können Sie die Tokenmetadaten auch überprüfen, wenn es sich bei dem offengelegten Geheimschlüssel um ein GitHub-Token handelt. Weitere Informationen zum Überprüfen von Tokenmetadaten finden Sie unter Überprüfen von GitHub-Tokenmetadaten.

  6. Um eine Warnung zu schließen, wähle das Dropdownmenü „Schließen als“ aus, und klicke auf einen Grund zum Beheben einer Warnung.

    Screenshot einer secret scanning-Warnung. Ein Dropdownmenü mit dem Titel „Schließen als“ wird angezeigt und ist in dunklem Orange eingerahmt.

  7. Füge optional im Feld „Kommentar“ einen Kommentar zum Schließen der Warnung hinzu. Der Kommentar zum Schließen wird der Zeitleiste der Warnung hinzugefügt und kann bei Prüfungen und Berichterstellungen als Begründung verwendet werden. Du kannst den Verlauf aller geschlossenen Warnungen und zugehörigen Kommentare in der Zeitachse der Warnungen einsehen. Du kannst auch mithilfe der Secret scanning-API einen Kommentar abrufen oder festlegen. Der Kommentar ist im Feld resolution_comment enthalten. Weitere Informationen findest du in der REST-API-Dokumentation unter Geheime Überprüfung.

  8. Klicke auf Warnung schließen.

Überprüfen von GitHub-Tokenmetadaten

Hinweis: Metadaten für GitHub-Token befinden sich derzeit in der öffentlichen Betaversion und können noch geändert werden.

In der Ansicht für eine aktive GitHub-Tokenwarnung kannst du bestimmte Metadaten zum Token überprüfen. Diese Metadaten können dir helfen, das Token zu identifizieren und zu entscheiden, welche Korrekturschritte ausgeführt werden sollen. Weitere Informationen zum Anzeigen einzelner Warnungen findest du unter Verwalten von Warnungen aus der secret scanning.

Token wie personal access token und andere Anmeldeinformationen werden als personenbezogene Daten betrachtet. Weitere Informationen zur Verwendung von GitHub-Token findest du unter GitHub-Datenschutzerklärung und Richtlinien zur akzeptablen Nutzung von GitHub.

Screenshot: Benutzeroberfläche für ein GitHub-Token mit den Tokenmetadaten.

Metadaten für GitHub-Token sind für aktive Token in jedem Repository mit aktivierter Geheimnisüberprüfung verfügbar. Wenn ein Token widerrufen wurde oder sein Status nicht überprüft werden kann, sind keine Metadaten verfügbar. GitHub widerruft GitHub-Token in öffentlichen Repositorys automatisch. Daher ist es unwahrscheinlich, dass Metadaten für GitHub-Token in öffentlichen Repositorys verfügbar sind. Die folgenden Metadaten sind für aktive GitHub-Token verfügbar:

MetadatenBeschreibung
GeheimnisnameDer Name, der dem GitHub-Token vom Ersteller/der Erstellerin zugewiesen wurde
Geheimnisbesitzer*inDas GitHub-Handle des Tokenbesitzers/der Tokenbesitzerin
Erstellt amErstellungsdatum des Tokens
Abgelaufen amAblaufdatum des Tokens
Zuletzt verwendet amDatum der letzten Verwendung des Tokens
AccessGibt an, ob das Token über Organisationszugriff verfügt

Kompromittierte Geheimnisse sichern

Sobald ein Geheimnis an ein Repository übergeben wurde, solltest du das Geheimnis als kompromittiert betrachten. GitHub empfiehlt die folgenden Aktionen für kompromittierte Geheimnisse:

  • Lösche bei einem kompromittierten persönlichen Zugriffstoken für GitHub personal access token das kompromittierte Token, erstelle ein neues Token und aktualisiere alle Dienste, die das alte Token verwenden. Weitere Informationen findest du unter Verwalten deiner persönlichen Zugriffstoken.
  • Für alle anderen Geheimnisse überprüfe zuerst, dass das per Commit an GitHub übergebene Geheimnis gültig ist. Wenn dies der Fall ist, erstelle ein neues Geheimnis, aktualisiere alle Dienste, die das alte Geheimnis verwenden, und lösche dann das alte Geheimnis.

Hinweis: Wenn ein Geheimnis in einem öffentlichen Repository auf GitHub.com erkannt wird und das Geheimnis auch einem Partnermuster entspricht, wird eine Warnung generiert, und das potenzielle Geheimnis wird dem Dienstanbieter gemeldet. Details zu Partnermustern findest du unter Geheimnisüberprüfungsmuster.

Konfigurieren von Benachrichtigungen für Warnungen zur Geheimnisüberprüfung

Benachrichtigungen unterscheiden sich für inkrementelle Überprüfungen und verlaufsbezogene Überprüfungen.

Inkrementelle Überprüfung

Wenn ein neues Geheimnis erkannt wird, benachrichtigt GitHub alle Benutzer mit Zugriff auf Sicherheitswarnungen für das Repository entsprechend ihren Benachrichtigungseinstellungen. Zu diesen Benutzer gehören Folgenden:

  • Repositoryadministratoren
  • Sicherheitsmanager
  • Benutzer*innen mit benutzerdefinierten Rollen mit Lese-/Schreibzugriff
  • Organisationsbesitzerinnen und Unternehmensbesitzerinnen, wenn sie Administrator*innen von Repositorys sind, in denen Geheimnisse geleakt wurden

Hinweis: Commitautoren, die versehentlich Geheimnisse committet haben, werden unabhängig von ihren Benachrichtigungseinstellungen benachrichtigt.

Du erhältst in folgenden Fällen eine E-Mail-Benachrichtigung:

  • Du überwachst das Repository.
  • Du hast Benachrichtigungen für „Jede Aktivität“ oder für benutzerdefinierte „Sicherheitswarnungen“ für das Repository aktiviert.
  • Du hast in deinen Benachrichtigungseinstellungen unter „Abonnements“ und dann unter „Überwachung“ ausgewählt, dass du Benachrichtigungen per E-Mail erhalten möchtest.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Um mit der Überwachung des Repositorys zu beginnen, wähle Überwachen aus.

    Screenshot der Hauptseite des Repositorys. Ein Dropdownmenü mit dem Titel „Überwachen“ ist in dunklem Orange eingerahmt.

  3. Klicke im Dropdownmenü auf Jede Aktivität. Um nur Sicherheitswarnungen zu abonnieren, klicke alternativ auf Benutzerdefiniert und dann auf Sicherheitswarnungen.

  4. Navigiere zu den Benachrichtigungseinstellungen für dein persönliches Konto. Diese sind unter https://github.com/settings/notifications verfügbar.

  5. Wähle auf der Seite mit den Benachrichtigungseinstellungen unter „Abonnements“ und dann unter „Beobachten“ die Dropdownliste Mich benachrichtigen aus.

  6. Wähle „E-Mail“ als Benachrichtigungsoption aus, und klicke dann auf Speichern.

    Screenshot der Benachrichtigungseinstellungen für ein Benutzerkonto. Es werden eine Elementüberschrift mit dem Titel „Abonnements“ und eine Unterüberschrift mit dem Titel „Überwachung“ angezeigt. Ein Kontrollkästchen mit dem Titel „E-Mail“ ist mit einem orangefarbenen Rahmen hervorgehoben.

Weitere Informationen zum Einrichten der Benachrichtigungseinstellungen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Konfigurieren von Überwachungseinstellungen für ein einzelnes Repository.

Verlaufsbezogene Überprüfungen

Bei verlaufsbezogenen Überprüfungen benachrichtigt GitHub die folgenden Benutzer*innen:

  • Organisationsbesitzerinnen, Unternehmensbesitzerinnen und Sicherheitsmanager – immer dann, wenn eine verlaufsbezogene Überprüfen abgeschlossen ist, auch wenn keine Geheimnisse gefunden werden
  • Repositoryadministratorinnen, Sicherheitsmanager und Benutzerinnen mit benutzerdefinierten Rollen mit Lese-/Schreibzugriff – immer dann, wenn bei einer verlaufsbezogenen Überprüfung ein Geheimnis erkannt wird, und entsprechend ihren Benachrichtigungseinstellungen

Commitautoren werden nicht benachrichtigt.

Weitere Informationen zum Einrichten der Benachrichtigungseinstellungen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Konfigurieren von Überwachungseinstellungen für ein einzelnes Repository.

Überwachungsantworten auf Warnungen zur Geheimnisüberprüfung

Du kannst die Aktionen, die als Reaktion auf secret scanning-Warnungen ergriffen wurden, mit GitHub-Tools überprüfen. Weitere Informationen findest du unter Prüfen von Sicherheitswarnungen.