Aktivieren von Gültigkeitsüberprüfungen für Ihr Repository

Wenn Sie Gültigkeitsüberprüfungen für Ihr Repository aktivieren, können Sie die Behebung von Warnungen priorisieren, da sie Ihnen sagt, ob ein Geheimnis aktiv oder inaktiv ist.

Wer kann dieses Feature verwenden?

Validity checks for partner patterns is available on all types of repositories on GitHub. To use this feature, you must have a license for GitHub Advanced Security.

In diesem Artikel

Informationen zu Gültigkeitsüberprüfungen

Sie können Gültigkeitsprüfungen für geheime Schlüssel aktivieren, die als Dienstanbieter-Token für Ihr Repository identifiziert werden. Nach der Aktivierung überprüft GitHub regelmäßig die Gültigkeit einer erkannten Anmeldeinformationen, indem das Geheimnis direkt an den Anbieter gesendet wird, als Teil des Scanpartnerschaftsprogramms von GitHub des Geheimnisses. Informationen zu unserem Partnerprogramm findest du unter Partnerprogramm für die Geheimnisüberprüfung.

GitHub zeigt den Überprüfungsstatus des geheimen Schlüssels in der Warnungsansicht an, so dass Sie sehen können, ob der geheime Schlüssel active oder inactive ist oder der Validierungsstatus unknown ist. Optional können Sie eine „On-Demand“-Gültigkeitsüberprüfung für den geheimen Schlüssel in der Warnungsansicht durchführen.

Darüber hinaus können Sie Gültigkeitsprüfungen für Partnermuster aktivieren. Nach der Aktivierung überprüft GitHub regelmäßig die Gültigkeit einer erkannten Anmeldeinformationen, indem das Geheimnis direkt an den Anbieter gesendet wird, als Teil des formellen Scanpartnerschaftsprogramms von GitHub des Geheimnisses. GitHub sendet in der Regel GET-Anforderungen, um die Gültigkeit der Anmeldeinformationen zu überprüfen, wählt die am wenigsten intrusiven Endpunkte aus und wählt Endpunkte aus, die keine persönlichen Informationen zurückgeben.

GitHub zeigt den Überprüfungsstatus des geheimen Schlüssels in der Warnungsansicht an.

Sie können nach Überprüfungsstatus auf der Warnungsseite filtern, damit Sie priorisieren können, für welche Warnungen Sie Maßnahmen ergreifen müssen.

Note

GitHub sendet in der Regel GET-Anforderungen, um die Gültigkeit der Anmeldeinformationen zu überprüfen, wählt die am wenigsten intrusiven Endpunkte aus und wählt Endpunkte aus, die keine persönlichen Informationen zurückgeben.

Weitere Informationen zur Verwendung von Validierungsprüfungen finden Sie unter „Bewerten von Warnungen aus der Geheimnisüberprüfung“.

Aktivieren von Gültigkeitsüberprüfungen

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Aktivieren Sie unter Secret scanning das Kontrollkästchen neben der Option, dass automatisch überprüft wird, ob ein geheimer Schlüssel gültig ist, indem er an den relevanten Partner gesendet wird.

Sie können auch die REST-API verwenden, um Gültigkeitsprüfungen für Partnermuster für Ihr Repository zu aktivieren. Weitere Informationen findest du unter REST-API-Endpunkte für Repositorys.

Alternativ können Organisationsbesitzer und Unternehmensadministratoren das Feature für alle Repositorys in den Organisations- oder Unternehmenseinstellungen aktivieren. Weitere Informationen zur Aktivierung auf Organisationsebene finden Sie unter "Creating a custom security configuration." Weitere Informationen zur Aktivierung auf Unternehmensebene finden Sie unter "[AUTOTITLE" und "Verwalten von GitHub Advanced Security-Features für dein Unternehmen](/rest/enterprise-admin/code-security-and-analysis#update-code-security-and-analysis-features-for-an-enterprise)".

Weiterführende Themen