Informationen zu secret scanning
Wenn dein Projekt mit einem externen Dienst kommuniziert, verwende allenfalls ein Token oder einen privaten Schlüssel für die Authentifizierung. Token und private Schlüssel sind Beispiele für Geheimnisse, die ein Dienstanbieter ausstellen kann. Wenn du ein Geheimnis in ein Repository einfügst, kann jedermann mit Lesezugriff auf das Repository das Geheimnis verwenden, um mit deinen Privilegien auf den externen Dienst zuzugreifen. Wir empfehlen, dass du Geheimnisse an einem dedizierten, sicheren Ort außerhalb deines Projekt-Repositorys speicherst.
Secret scanning überprüft den gesamten Git-Verlauf aller Branches in deinem GitHub-Repository auf Geheimnisse, selbst wenn das Repository archiviert ist. Secret scanning sucht auch nach Problembeschreibungen und Kommentaren für Geheimnisse.
Zusätzlich durchsucht secret scanning auch die Titel, Beschreibungen und Kommentare in offenen und geschlossenen historischen Issues und meldet kompromittierte Geheimnisse als Warnungen in GitHub. Der betreffende Partner erhält eine Benachrichtigung, wenn ein historisches Muster eines Partners erkannt wird.
Secret scanning steht auf GitHub.com in zwei Formen zur Verfügung:
-
Warnungen zur Geheimnisüberprüfung für Partner. Wird automatisch für alle öffentlichen Repositorys und öffentlichen npm-Pakete ausgeführt. Dienstanbieter können mit GitHub als Partner zusammenarbeiten, um ihre geheimen Formate zum Durchsuchen bereitzustellen. Informationen zu unserem Partnerprogramm findest du unter Partnerprogramm für die Geheimnisüberprüfung. Zeichenfolgen, die Mustern entsprechen, die von Partnern für die Überprüfung von Geheimnissen bereitgestellt wurden, werden direkt dem entsprechenden Partner gemeldet. Weitere Informationen findest du im nachstehenden Abschnitt Informationen zu Warnungen zur Geheimnisüberprüfung für Partner.
-
Warnungen zur Geheimnisüberprüfung für Benutzer*innen. Du kannst zusätzliche Überprüfungen für Repositorys im Besitz von Organisationen aktivieren und konfigurieren, die GitHub Enterprise Cloud nutzen: für öffentliche Repositorys (kostenlos) sowie für private und interne Repositorys, wenn du über eine Lizenz für GitHub Advanced Security verfügst.
Für alle Zeichenfolgen, die mit Mustern übereinstimmen, die von Partnern für die Geheimnisüberprüfung oder anderen Dienstanbietern angegeben oder von dir oder deiner Organisation definiert wurden, werden Warnmeldungen auf der Registerkarte Sicherheit der Repositorys angezeigt. Wenn eine Zeichenfolge in einem öffentlichen Repository mit einem Muster eines Partners übereinstimmt, wird dies auch an den Partner gemeldet. Weitere Informationen findest du im nachstehenden Abschnitt Informationen zu Warnungen zur Geheimnisüberprüfung für Benutzer*innen.
Du kannst die Aktionen, die als Reaktion auf secret scanning-Warnungen ergriffen wurden, mit GitHub-Tools überprüfen. Weitere Informationen findest du unter Prüfen von Sicherheitswarnungen.
Du kannst secret scanning auch als Pushschutz für ein Repository oder eine Organisation aktivieren. Wenn du dieses Feature aktivierst, verhindert secret scanning, dass Mitwirkende Code mit einem erkannten Geheimnis pushen. Um fortzufahren, müssen die Mitwirkenden entweder das Geheimnis aus dem Push entfernen oder ggf. den Schutz umgehen. Administratoren können außerdem einen benutzerdefinierten Link angeben, der dem Mitwirkenden angezeigt wird, wenn ein Push blockiert wird.Der Link kann organisationsspezifische Ressourcen enthalten, um den Mitwirkenden zu helfen. Weitere Informationen findest du unter Pushschutz für Repositorys und Organisationen.
Wenn du bestätigen konntest, dass es sich wirklich um ein Geheimnis handelt, musst du dieses vor dem nächsten Push aus deinem Branch und allen Commits entfernen, in denen es vorkommt.
Hinweis: Wenn Sie ein Repository mit aktiviertem secret scanning oder Push-Schutz forken, sind diese Features nicht standardmäßig für den Fork aktiviert. Die Aktivierung von secret scanning oder des Push-Schutzes für den Fork ist auf die gleiche Weise möglich wie für ein eigenständiges Repository.
Informationen zu Warnungen zur Geheimnisüberprüfung für Partner
Wenn du ein Repository als öffentlich kennzeichnest oder Änderungen an einem öffentlichen Repository vornimmst, durchsucht GitHub Enterprise Cloud den Code immer nach Geheimnissen, die dem Partnermuster entsprechen. Öffentliche Pakete in der npm-Registrierung werden ebenfalls überprüft. Secret scanning sucht auch nach Problembeschreibungen und Kommentaren für Geheimnisse. Wenn secret scanning ein potenzielles Geheimnis ermittelt, benachrichtigen wir den Dienstanbieter, der das Geheimnis ausgegeben hat. Der Dienstanbieter überprüft die Zeichenfolge und entscheidet dann, ob er das Geheimnis widerrufen, ein neues Geheimnis ausstellen oder sich direkt an dich wenden soll. Die Maßnahmen hängen von den Risiken ab, die für dich oder sie bestehen. Weitere Informationen findest du unter Geheimnisüberprüfungsmuster.
Du kannst die Konfiguration der secret scanning für Muster von Partnern in öffentlichen Repositorys nicht ändern.
Informationen zu Warnungen zur Geheimnisüberprüfung für Benutzer*innen
Warnungen zur Geheimnisüberprüfung für Benutzerinnen sind kostenlos für alle öffentlichen Repositorys sowie für private und interne Repositorys verfügbar, die sich im Besitz von Organisationen befinden und GitHub Enterprise Cloud mit einer Lizenz für GitHub Advanced Security verwenden. Wenn du secret scanning für ein Repository aktivierst, überprüft GitHub den Code auf Muster, die von vielen Dienstanbietern verwendeten Geheimnissen entsprechen. Wenn die Überprüfung abgeschlossen ist, sendet GitHub auch dann eine E-Mail-Warnung an die Unternehmens- und Organisationsbesitzerinnen, wenn keine Geheimnisse gefunden wurden.
Secret scanning sucht auch nach Problembeschreibungen und Kommentaren für Geheimnisse. Wenn ein unterstütztes Geheimnis geleakt wurde, erzeugt GitHub Enterprise Cloud eine secret scanning-Warnung. GitHub führt außerdem in regelmäßigen Abständen eine vollständige Überprüfung des Git-Verlaufs der vorhandenen Inhalte in GitHub Advanced Security-Repositorys durch, in denen secret scanning aktiviert ist, und sendet Warnmeldungen gemäß den Einstellungen für secret scanning-Warnmeldungen. Weitere Informationen findest du unter Unterstützte Geheimnisse für Benutzerwarnungen.
Als Repositoryadministratorin kannst du Warnungen zur Geheimnisüberprüfung für Benutzerinnen für ein beliebiges Repository aktivieren, einschließlich archivierter Repositorys. Organisationsbesitzer können Warnungen zur Geheimnisüberprüfung für Benutzer*innen auch für alle Repositorys oder für alle neuen Repositorys innerhalb einer Organisation aktivieren. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.
Du kannst außerdem benutzerdefinierte secret scanning-Muster für ein Repository, deine Organisation oder dein Unternehmen definieren. Weitere Informationen findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.
GitHub speichert sowohl bei der Übertragung als auch im Ruhezustand erkannte Geheimnisse mit symmetrischer Verschlüsselung.
Zugreifen auf Warnungen zur Geheimnisüberprüfung
Wenn du secret scanning für ein Repository aktivierst oder Commits in ein Repository pushst, wobei secret scanning aktiviert ist, überprüft GitHub den Inhalt auf Geheimnisse, die mit von Dienstanbietern definierten Mustern sowie jeglichen benutzerdefinierten Mustern, die in deinem Unternehmen, deiner Organisation oder deinem Repository definiert sind, übereinstimmen. Secret scanning sucht auch nach Problembeschreibungen und Kommentaren für Geheimnisse. GitHub führt außerdem eine Überprüfung aller historischen Codeinhalte in Repositorys durch, in denen secret scanning aktiviert ist, wenn ein neues Partnermuster oder benutzerdefiniertes Muster hinzugefügt oder aktualisiert wird.
Wenn secret scanning ein Geheimnis in einem Commit, einer Issuebeschreibung oder einem Kommentar erkennt, generiert GitHub eine Warnung.
- GitHub sendet E-Mail-Warnungen zu den Repository-Administratoren und den Organisations-Inhabern. Du erhältst eine Warnung, wenn du das Repository überwachst, wenn du Benachrichtigungen entweder für Sicherheitswarnungen oder für alle Aktivitäten im Repository aktiviert hast und wenn du in deinen Benachrichtigungseinstellungen ausgewählt hast, dass du E-Mail-Benachrichtigungen für die zu beobachtenden Repositorys erhalten möchtest.
- Wenn die Person, die das Geheimnis in den Commit, die Issuebeschreibung oder den Kommentar eingegeben hat, das Repository nicht ignoriert, sendet GitHub der Person ebenfalls eine Warnung per E-Mail. Die E-Mails enthalten einen Link zur entsprechenden secret scanning-Warnung. Die Person, die das Geheimnis eingegeben hat, kann die Warnung im Repository anzeigen und dann lösen.
- GitHub zeigt eine Warnung auf der Registerkarte Sicherheit des Repositorys an.
Weitere Informationen zum Anzeigen und Auflösen von Warnungen zur Geheimnisüberprüfung findest du unter Verwalten von Warnungen aus der Geheimnisüberprüfung.
Weitere Informationen zum Konfigurieren von Benachrichtigungen für Warnungen zur Geheimnisüberprüfung findest du unter Konfigurieren von Benachrichtigungen für Warnungen zur Geheimnisüberprüfung.
Repositoryadministratoren und Organisationsbesitzer können Benutzern und Teams Zugriff auf Warnungen zur Geheimnisüberprüfung gewähren. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.
In der Sicherheitsübersicht kannst du auf Organisationsebene anzeigen, für welche Repositorys secret scanning aktiviert wurde und welche Warnungen gefunden wurden. Weitere Informationen findest du unter Informationen zur Sicherheitsübersicht.
Du kannst auch die REST-API verwenden, um die Ergebnisse der secret scanning in deinen Repositorys zu überwachen. Weitere Informationen zu API-Endpunkten findest du unter Geheime Überprüfung.