Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Aktuelle Informationen findest du in der englischsprachigen Dokumentation.
All products
Codesicherheit

Informationen zur Geheimnisüberprüfung

In diesem Artikel

GitHub Enterprise Cloud überprüft Repositorys auf bekannte Geheimnistypen, um das betrügerische Verwenden von Geheimnissen zu verhindern, die aus Versehen committet wurden.

Warnungen zur Geheimnisüberprüfung für Partner wird automatisch in öffentlichen Repositorys ausgeführt, um Dienstanbieter über Geheimnislecks auf GitHub.com zu informieren.

Warnungen zur Geheimnisüberprüfung für Benutzerinnen sind in allen öffentlichen Repositorys kostenlos verfügbar. Organisationen, die GitHub Enterprise Cloud mit einer Lizenz für GitHub Advanced Security verwenden, können Warnungen zur Geheimnisüberprüfung für Benutzerinnen für ihre privaten und internen Repositorys aktivieren. Weitere Informationen findest du unter Informationen zu Warnungen zur Geheimnisüberprüfung für Benutzer*innen und Informationen zu GitHub Advanced Security.

Informationen zu secret scanning

Wenn dein Projekt mit einem externen Dienst kommuniziert, verwende allenfalls ein Token oder einen privaten Schlüssel für die Authentifizierung. Token und private Schlüssel sind Beispiele für Geheimnisse, die ein Dienstanbieter ausstellen kann. Wenn du ein Geheimnis in ein Repository einfügst, kann jedermann mit Lesezugriff auf das Repository das Geheimnis verwenden, um mit deinen Privilegien auf den externen Dienst zuzugreifen. Wir empfehlen, dass du Geheimnisse an einem dedizierten, sicheren Ort außerhalb deines Projekt-Repositorys speicherst.

Secret scanning überprüft den gesamten Git-Verlauf aller Branches in deinem GitHub-Repository auf Geheimnisse, selbst wenn das Repository archiviert ist. Secret scanning analysiert auch Problembeschreibungen und Kommentare für Geheimnisse.

Secret scanning steht auf GitHub.com in zwei Formen zur Verfügung:

  1. Warnungen zur Geheimnisüberprüfung für Partner. Wird automatisch für alle öffentlichen Repositorys ausgeführt. Alle Zeichenfolgen, die mit Mustern übereinstimmen, die von Partnern für die Geheimnisüberprüfung angegeben wurden, werden direkt an den jeweiligen Partner gemeldet. Weitere Informationen findest du im nachstehenden Abschnitt Informationen zu Warnungen zur Geheimnisüberprüfung für Partner.

  2. Warnungen zur Geheimnisüberprüfung für Benutzer*innen. Du kannst zusätzliche Überprüfungen für Repositorys im Besitz von Organisationen aktivieren und konfigurieren, die GitHub Enterprise Cloud nutzen: für öffentliche Repositorys (kostenlos) sowie für private und interne Repositorys, wenn du über eine Lizenz für GitHub Advanced Security verfügst.

    Für alle Zeichenfolgen, die mit Mustern übereinstimmen, die von Partnern für die Geheimnisüberprüfung oder anderen Dienstanbietern angegeben oder von dir oder deiner Organisation definiert wurden, werden Warnmeldungen auf der Registerkarte Sicherheit der Repositorys angezeigt. Wenn eine Zeichenfolge in einem öffentlichen Repository mit einem Muster eines Partners übereinstimmt, wird dies auch an den Partner gemeldet. Weitere Informationen findest du im nachstehenden Abschnitt Informationen zu Warnungen zur Geheimnisüberprüfung für Benutzer*innen.

Du kannst die Aktionen, die als Reaktion auf secret scanning-Warnungen ergriffen wurden, mit GitHub-Tools überprüfen. Weitere Informationen findest du unter Prüfen von Sicherheitswarnungen.

Dienstleister können mit GitHub zusammenarbeiten, um ihre geheimen Formate zum Durchsuchen bereitzustellen. Informationen zu unserem Partnerprogramm findest du unter Secret scanning-Partnerprogramm.

Du kannst secret scanning auch als Pushschutz für ein Repository oder eine Organisation aktivieren. Wenn du dieses Feature aktivierst, verhindert secret scanning, dass Mitwirkende Code mit einem erkannten Geheimnis pushen. Um fortzufahren, müssen die Mitwirkenden entweder das Geheimnis aus dem Push entfernen oder ggf. den Schutz umgehen. Administratoren können außerdem einen benutzerdefinierten Link angeben, der dem Mitwirkenden angezeigt wird, wenn ein Push blockiert wird.Der Link kann organisationsspezifische Ressourcen enthalten, um den Mitwirkenden zu helfen. Weitere Informationen findest du unter Schützen von Pushes mit der Geheimnisüberprüfung.

Informationen zu Warnungen zur Geheimnisüberprüfung für Partner

Wenn du ein Repository als öffentlich kennzeichnest oder Änderungen an einem öffentlichen Repository vornimmst, durchsucht GitHub Enterprise Cloud den Code immer nach Geheimnissen, die dem Partnermuster entsprechen. Secret scanning analysiert auch Problembeschreibungen und Kommentare für Geheimnisse. Wenn secret scanning ein potenzielles Geheimnis ermittelt, benachrichtigen wir den Dienstanbieter, der das Geheimnis ausgegeben hat. Der Dienstanbieter überprüft die Zeichenfolge und entscheidet dann, ob er das Geheimnis widerrufen, ein neues Geheimnis ausstellen oder sich direkt an dich wenden soll. Die Maßnahmen hängen von den Risiken ab, die für dich oder sie bestehen. Weitere Informationen findest du unter Secret scanning patterns.

Du kannst die Konfiguration der secret scanning für Muster von Partnern in öffentlichen Repositorys nicht ändern.

Informationen zu Warnungen zur Geheimnisüberprüfung für Benutzer*innen

Warnungen zur Geheimnisüberprüfung für Benutzer*innen sind kostenlos für alle öffentlichen Repositorys sowie für private und interne Repositorys verfügbar, die sich im Besitz von Organisationen befinden und GitHub Enterprise Cloud mit einer Lizenz für GitHub Advanced Security verwenden. Wenn du secret scanning für ein Repository aktivierst, überprüft GitHub den Code auf Muster, die von vielen Dienstanbietern verwendeten Geheimnissen entsprechen. Secret scanning analysiert auch Problembeschreibungen und Kommentare für Geheimnisse. Wenn ein unterstütztes Geheimnis geleakt wurde, erzeugt GitHub Enterprise Cloud eine secret scanning-Warnung. GitHub führt außerdem in regelmäßigen Abständen eine vollständige Überprüfung des Git-Verlaufs der vorhandenen Inhalte in GitHub Advanced Security-Repositorys durch, in denen secret scanning aktiviert ist, und sendet Warnmeldungen gemäß den Einstellungen für secret scanning-Warnmeldungen. Weitere Informationen findest du unter Unterstützte Geheimnisse für Benutzerwarnungen.

Hinweis: Secret scanning für Problembeschreibungen und Kommentare liegt derzeit in der öffentlichen Betaversion vor und kann noch geändert werden.

Als Repositoryadministrator kannst du Warnungen zur Geheimnisüberprüfung für Benutzerinnen für ein beliebiges Repository aktivieren, einschließlich archivierter Repositorys. Organisationsbesitzer können Warnungen zur Geheimnisüberprüfung für Benutzerinnen auch für alle Repositorys oder für alle neuen Repositorys innerhalb einer Organisation aktivieren. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.

Du kannst außerdem benutzerdefinierte Muster für die secret scanning für ein Repository, eine Organisation oder ein Unternehmen definieren. Weitere Informationen findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.

GitHub speichert sowohl bei der Übertragung als auch im Ruhezustand erkannte Geheimnisse mit symmetrischer Verschlüsselung.

Zugreifen auf Warnungen zur Geheimnisüberprüfung

Wenn du secret scanning für ein Repository aktivierst oder Commits in ein Repository pushst, wobei secret scanning aktiviert ist, überprüft GitHub den Inhalt dieser Commits auf Geheimnisse, die mit den von den Dienstanbietern definierten Mustern übereinstimmen und allen benutzerdefinierten Mustern, die in deinem Unternehmen, deiner Organisation oder deinem Repository definiert sind. Secret scanning analysiert auch Problembeschreibungen und Kommentare für Geheimnisse. GitHub führt außerdem eine Überprüfung aller historischen Inhalte in Repositorys durch, in denen secret scanning aktiviert ist, wenn ein neues Partnermuster oder benutzerdefiniertes Muster hinzugefügt oder aktualisiert wird.

Wenn secret scanning ein Geheimnis erkennt, generiert GitHub eine Warnung.

  • GitHub sendet E-Mail-Warnungen zu den Repository-Administratoren und den Organisations-Inhabern. Du erhältst eine Warnung, wenn du das Repository überwachst, wenn du Benachrichtigungen entweder für Sicherheitswarnungen oder für alle Aktivitäten im Repository aktiviert hast und wenn du in deinen Benachrichtigungseinstellungen ausgewählt hast, dass du E-Mail-Benachrichtigungen für die zu beobachtenden Repositorys erhalten möchtest.
  • Wenn der/die Mitwirkende, der oder die das Geheimnis committet hat, das Repository nicht ignoriert, sendet GitHub ebenfalls eine E-Mail-Warnung an den/die Mitwirkende*n. Die E-Mails enthalten einen Link zur entsprechenden secret scanning-Warnung. Der Commitautor kann die Warnung dann im Repository anzeigen und die Warnung auflösen.
  • GitHub zeigt eine Warnung auf der Registerkarte Sicherheit des Repositorys an.

Weitere Informationen zum Anzeigen und Auflösen von Warnungen zur Geheimnisüberprüfung findest du unter Verwalten von Warnungen aus der Geheimnisüberprüfung.

Weitere Informationen zum Konfigurieren von Benachrichtigungen für Warnungen zur Geheimnisüberprüfung findest du unter Konfigurieren von Benachrichtigungen für Warnungen zur Geheimnisüberprüfung.

Repositoryadministratoren und Organisationsbesitzer können Benutzern und Teams Zugriff auf Warnungen zur Geheimnisüberprüfung gewähren. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.

In der Sicherheitsübersicht kannst du auf Organisationsebene anzeigen, für welche Repositorys secret scanning aktiviert wurde und welche Warnungen gefunden wurden. Weitere Informationen findest du unter Anzeigen der Sicherheitsübersicht.

Du kannst auch die REST-API verwenden, um die Ergebnisse der secret scanning in deinen Repositorys zu überwachen. Weitere Informationen zu API-Endpunkten findest du unter Secret scanning.

Weiterführende Themen