Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Informationen zur Geheimnisüberprüfung

GitHub Enterprise Cloud überprüft Repositorys auf bekannte Geheimnistypen, um das betrügerische Verwenden von Geheimnissen zu verhindern, die aus Versehen committet wurden.

Secret scanning alerts for partners wird automatisch in öffentlichen Repositorys ausgeführt. Wenn du über eine Lizenz für GitHub Advanced Security verfügst, kannst du secret scanning alerts for users für jedes Repository im Besitz einer Organisation aktivieren und konfigurieren. Weitere Informationen findest du unter Informationen zu secret scanning alerts for users und Informationen zu GitHub Advanced Security.

Informationen zu secret scanning

Wenn dein Projekt mit einem externen Dienst kommuniziert, verwende allenfalls ein Token oder einen privaten Schlüssel für die Authentifizierung. Token und private Schlüssel sind Beispiele für Geheimnisse, die ein Dienstanbieter ausstellen kann. Wenn du ein Geheimnis in ein Repository einfügst, kann jedermann mit Lesezugriff auf das Repository das Geheimnis verwenden, um mit deinen Privilegien auf den externen Dienst zuzugreifen. Wir empfehlen, dass du Geheimnisse an einem dedizierten, sicheren Ort außerhalb deines Projekt-Repositorys speicherst.

Secret scanning überprüft den gesamten Git-Verlauf aller Branches in deinem GitHub-Repository auf Geheimnisse, selbst wenn das Repository archiviert ist. Secret scanning analysiert auch Problembeschreibungen und Kommentare für Geheimnisse.

Secret scanning steht auf GitHub.com in zwei Formen zur Verfügung:

  1. Secret scanning alerts for partners. Wird automatisch für alle öffentlichen Repositorys ausgeführt. Alle Zeichenfolgen, die mit Mustern übereinstimmen, die von Partnern für die Geheimnisüberprüfung angegeben wurden, werden direkt an den jeweiligen Partner gemeldet. Weitere Informationen findest du im nachstehenden Abschnitt Informationen zu secret scanning alerts for partners.

  2. Secret scanning alerts for users. Du kannst zusätzliche Überprüfungen für Repositorys im Besitz von Organisationen aktivieren und konfigurieren, die GitHub Enterprise Cloud verwenden und über eine Lizenz für GitHub Advanced Security verfügen. Dies schließt private und interne Repositorys ein.

    Für alle Zeichenfolgen, die mit Mustern übereinstimmen, die von Partnern für die Geheimnisüberprüfung oder anderen Dienstanbietern angegeben oder von dir oder deiner Organisation definiert wurden, werden Warnmeldungen auf der Registerkarte Sicherheit der Repositorys angezeigt. Wenn eine Zeichenfolge in einem öffentlichen Repository mit einem Muster eines Partners übereinstimmt, wird dies auch an den Partner gemeldet. Weitere Informationen findest du im nachstehenden Abschnitt Informationen zu secret scanning alerts for users.

Dienstleister können mit GitHub zusammenarbeiten, um ihre geheimen Formate zum Durchsuchen bereitzustellen. Informationen zu unserem Partnerprogramm findest du unter Secret scanning-Partnerprogramm.

Du kannst secret scanning auch als Pushschutz für ein Repository oder eine Organisation aktivieren. Wenn du dieses Feature aktivierst, verhindert secret scanning, dass Mitwirkende Code mit einem erkannten Geheimnis pushen. Um fortzufahren, müssen die Mitwirkenden entweder das Geheimnis aus dem Push entfernen oder ggf. den Schutz umgehen. Administratoren können außerdem einen benutzerdefinierten Link angeben, der dem Mitwirkenden angezeigt wird, wenn ein Push blockiert wird.Der Link kann organisationsspezifische Ressourcen enthalten, um den Mitwirkenden zu helfen. Weitere Informationen findest du unter Schützen von Pushes mit secret scanning.

Informationen zu secret scanning alerts for partners

Wenn du ein Repository als öffentlich kennzeichnest oder Änderungen an einem öffentlichen Repository vornimmst, durchsucht GitHub Enterprise Cloud den Code immer nach Geheimnissen, die dem Partnermuster entsprechen. Secret scanning analysiert auch Problembeschreibungen und Kommentare für Geheimnisse. Wenn secret scanning ein potenzielles Geheimnis ermittelt, benachrichtigen wir den Dienstanbieter, der das Geheimnis ausgegeben hat. Der Dienstanbieter überprüft die Zeichenfolge und entscheidet dann, ob er das Geheimnis widerrufen, ein neues Geheimnis ausstellen oder sich direkt an dich wenden soll. Die Maßnahmen hängen von den Risiken ab, die für dich oder sie bestehen. Weitere Informationen findest du unter Unterstützte Geheimnisse für Partnerwarnungen.

Du kannst die Konfiguration der secret scanning für Muster von Partnern in öffentlichen Repositorys nicht ändern.

Informationen zu secret scanning alerts for users

Secret scanning alerts for users stehen im Rahmen von GitHub Advanced Security für alle organisationsinternen Repositorys zur Verfügung. Das Feature steht nicht für Repositorys im Besitz von Benutzern zur Verfügung. Wenn du die secret scanning für ein Repository aktivierst, überprüft GitHub den Code auf Übereinstimmungen mit Geheimnissen, die von vielen Dienstanbietern verwendet werden. Secret scanning analysiert auch Problembeschreibungen und Kommentare für Geheimnisse. Wenn ein unterstütztes Geheimnis geleakt wurde, erzeugt GitHub Enterprise Cloud eine secret scanning-Warnung. GitHub führt außerdem in regelmäßigen Abständen einen vollständigen Scan des Git-Verlaufs der vorhandenen Inhalte in GitHub Advanced Security-Repositorys durch, in denen secret scanning aktiviert ist, und sendet Warnmeldungen gemäß der Einstellungen für secret scanning-Warnmeldungen. Weitere Informationen findest du unter Unterstützte Geheimnisse für Benutzerwarnungen.

Hinweis: Secret scanning für Problembeschreibungen und Kommentare liegt derzeit in der öffentlichen Betaversion vor und kann noch geändert werden.

Als Repositoryadministrator kannst du secret scanning alerts for users für ein beliebiges Repository aktivieren, einschließlich archivierter Repositorys. Organisationsbesitzer können secret scanning alerts for users auch für alle Repositorys oder für alle neuen Repositorys innerhalb einer Organisation aktivieren. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository oder Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.

Du kannst außerdem benutzerdefinierte Muster für die secret scanning für ein Repository, eine Organisation oder ein Unternehmen definieren. Weitere Informationen findest du unter Definieren von benutzerdefinierten Mustern für secret scanning.

GitHub speichert sowohl bei der Übertragung als auch im Ruhezustand erkannte Geheimnisse mit symmetrischer Verschlüsselung.

Zugreifen auf secret scanning alerts

Wenn du secret scanning für ein Repository aktivierst oder Commits in ein Repository pushst, wobei secret scanning aktiviert ist, überprüft GitHub den Inhalt dieser Commits auf Geheimnisse, die mit den von den Dienstanbietern definierten Mustern übereinstimmen und allen benutzerdefinierten Mustern, die in deinem Unternehmen, deiner Organisation oder deinem Repository definiert sind. Secret scanning analysiert auch Problembeschreibungen und Kommentare für Geheimnisse. GitHub führt außerdem regelmäßig eine Überprüfung aller historischen Inhalte in Repositorys durch, in denen secret scanning aktiviert ist.

Wenn secret scanning ein Geheimnis erkennt, generiert GitHub eine Warnung.

  • GitHub sendet E-Mail-Warnungen zu den Repository-Administratoren und den Organisations-Inhabern. Es wird eine Warnung ausgegeben, wenn du das Repository ansiehst und wenn du Benachrichtigungen entweder für Sicherheitswarnungen oder für die gesamte Aktivität im Repository aktiviert hast.
  • Wenn der/die Mitwirkende, der oder die das Geheimnis committet hat, das Repository nicht ignoriert, sendet GitHub ebenfalls eine E-Mail-Warnung an den/die Mitwirkende*n. Die E-Mails enthalten einen Link zur entsprechenden secret scanning-Warnung. Der Commitautor kann die Warnung dann im Repository anzeigen und die Warnung auflösen.
  • GitHub zeigt eine Warnung auf der Registerkarte Sicherheit des Repositorys an.

Weitere Informationen zum Anzeigen und Auflösen von secret scanning alerts findest du unter Verwalten von Warnungen aus der secret scanning.

Repositoryadministratoren und Organisationsbesitzer können Benutzern und Teams Zugriff auf secret scanning alerts gewähren. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.

In der Sicherheitsübersicht kannst du auf Organisationsebene anzeigen, für welche Repositorys secret scanning aktiviert wurde und welche Warnungen gefunden wurden. Weitere Informationen findest du unter Informationen zur Sicherheitsübersicht.

Du kannst auch die REST-API verwenden, um die Ergebnisse der secret scanning in deinen Repositorys zu überwachen. Weitere Informationen zu API-Endpunkten findest du unterSecret scanning.

Weitere Informationsquellen