Skip to main content

Informationen zum Scannen nach Geheimnissen für Partner

When secret scanning detects authentication details for a service provider in a public repository on GitHub, an alert is sent directly to the provider. This allows service providers who are GitHub partners to promptly take action to secure their systems.

Wer kann dieses Feature verwenden?

Warnungen zur Geheimnisüberprüfung für Partner wird standardmäßig in den folgenden Repositorys ausgeführt:

  • Öffentliche Repositorys und öffentliche npm-Pakete auf GitHub

Informationen zu Warnungen zur Geheimnisüberprüfung für Partner

GitHub Enterprise Cloud überprüft öffentliche Repositorys und öffentliche npm-Pakete auf Geheimnisse, die von den jeweiligen Dienstanbietern ausgegeben wurden, die unserem Partnerschaftsprogramm beigetreten sind, und benachrichtigt den entsprechenden Dienstanbieter, wenn ein Geheimnis in einem Commit erkannt wird. Der Dienstanbieter überprüft die Zeichenfolge und entscheidet dann, ob er das Geheimnis widerrufen, ein neues Geheimnis ausstellen oder sich direkt an dich wenden soll. Die Maßnahmen hängen von den Risiken ab, die für dich oder sie bestehen. Informationen zu unserem Partnerprogramm findest du unter Partnerprogramm für die Geheimnisüberprüfung.

Note

Du kannst die Konfiguration der secret scanning für Muster von Partnern in öffentlichen Repositorys nicht ändern.

Der Grund, warum Partnerbenachrichtigungen direkt an Authentifizierungskomponenten gesendet werden, wenn ein Leck für einen ihrer geheimen Schlüssel erkannt wird, besteht darin, dass der Anbieter sofortige Maßnahmen ergreifen kann, um Sie und ihre Ressourcen zu schützen. Der Benachrichtigungsprozess für normale Warnungen ist anders. Normale Warnungen werden auf der Registerkarte Sicherheit des Repositorys auf GitHub angezeigt, damit Sie aufgelöst werden können.

Wenn der Zugriff auf eine Ressource gekoppelte Anmeldeinformationen erfordert, löst die Überprüfung des Geheimnisses nur dann eine Warnung aus, wenn beide Teile der Kopplung in derselben Datei erkannt werden. So wird sichergestellt, dass die wichtigsten Lecks nicht hinter Informationen über partielle Lecks versteckt bleiben. Der Paarabgleich hilft auch dabei, falsch positive Ergebnisse zu reduzieren, da beide Elemente eines Paares zusammen verwendet werden müssen, um auf die Ressource des Anbieters zuzugreifen.

Was sind die unterstützten geheimen Schlüssel?

Weitere Informationen zu Geheimnissen und Dienstanbietern, für die der Pushschutz unterstützt wird, findest du unter Unterstützte Scanmuster für geheime Schlüssel.

Weiterführende Themen