Skip to main content

Anzeigen und Filtern von Warnungen aus Geheimnisüberprüfung

Learn how to find and filter secret scanning alerts for users for your repository.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

Informationen zur secret scanning-Warnungsseite

Wenn du secret scanning für ein Repository aktivierst oder Commits in ein Repository pushst, wobei secret scanning aktiviert ist, überprüft GitHub den Inhalt auf Geheimnisse, die mit von Dienstanbietern definierten Mustern sowie jeglichen benutzerdefinierten Mustern, die in deinem Unternehmen, deiner Organisation oder deinem Repository definiert sind, übereinstimmen.

Wenn secret scanning ein Geheimnis erkennt, generiert GitHub eine Warnung. GitHub zeigt eine Warnung auf der Registerkarte Sicherheit des Repositorys an.

Um Warnungen effektiver zu triagen, trennt GitHub Warnungen in zwei Listen:

  • Standardwarnungen
  • Experimentelle-Warnungen

Screenshot der Warnungsansicht von secret scanning. Die Schaltfläche zum Umschalten zwischen "Standard" und "Experimentell" ist durch einen orangefarbenen Umriss hervorgehoben.

Standardbenachrichtigungsliste

Die Liste über Standardwarnungen zeigt Warnungen an, die sich auf unterstützte Muster und angegebene benutzerdefinierte Muster beziehen. Dies ist die Hauptansicht für Warnungen.

Liste experimenteller Warnungen

In der Liste experimenteller Warnungen werden Warnungen angezeigt, die sich auf Nichtanbietermuster beziehen (z. B. private Schlüssel), oder generische Geheimnisse, die mithilfe von KI (z. B. Kennwörtern) erkannt wurden. Diese Arten von Warnungen können eine höhere Rate falsch positiver Ergebnisse oder verwendete Geheimnisse in Tests. Sie können über die Standardbenachrichtigungsliste zur experimentellen Warnungsliste wechseln.

Und Warnungen, die in diese Kategorie fallen:

  • Sind in der Menge auf 5000 Warnungen pro Repository begrenzt (dies umfasst offene und geschlossene Warnungen).
  • Werden nicht in den Zusammenfassungsansichten für die Sicherheitsübersicht angezeigt, sondern nur in der Ansicht „Secret scanning“.
  • Es werden nur die ersten fünf erkannten Speicherorte für GitHub für Nichtanbietermuster angezeigt, und nur der erste erkannte Speicherort, der für KI-erkannte generische Geheimnisse angezeigt wird.

Damit GitHub nach Nicht-Anbietermustern und generische Geheimschlüssel suchen, müssen Sie zuerst die Features für Ihr Repository oder Ihre Organisation aktivieren. Weitere Informationen findest du unter Aktivieren der Geheimnisüberprüfung auf Nicht-Anbietermuster und Aktivieren der generischen Geheimniserkennung der Copilot Geheimnisüberprüfung.

GitHub gibt weiterhin neue Muster und Geheimnistypen für die experimentelle Warnungsliste frei und wird sie nach Abschluss des Features in die Standardliste höher stufen (z. B. wenn sie über eine angemessen niedrige Menge und Rate falsch positiver Ergebnisse verfügen).

Anzeigen von Warnungen

Warnungen für secret scanning werden auf der Registerkarte „Sicherheit“ des Repositorys angezeigt.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicken Sie auf der linken Randleiste unter „Sicherheitsrisikowarnungen“ auf Secret scanning .

  4. Wechseln Sie optional auf “Experimentell“, um Warnungen für Nichtanbietermuster oder generische Geheimnisse anzuzeigen, die mit KI erkannt wurden.

  5. Klicken Sie unter „Secret scanning“ auf die Warnung, die Sie anzeigen möchten.

    Note

    Nur Personen mit Admin-Berechtigungen für das Repository, das ein durchgesickertes Geheimnis enthält, können die Details einer Sicherheitsmeldung und die Token-Metadaten für eine Warnung einsehen. Unternehmensbesitzer können für diesen Zweck temporären Zugriff auf das Repository anfordern.

Filtern von Warnungen

Sie können verschiedene Filter auf die Warnungsliste anwenden, um die Benachrichtigungen zu finden, an denen Sie interessiert sind. Sie können die Dropdownmenüs oberhalb der Warnungsliste verwenden oder die in der Tabelle aufgeführten Qualifizierer in die Suchleiste eingeben.

QualifiziererBeschreibung
is:openZeigt geöffnete Warnungen an.
is:closedZeigt geschlossene Warnungen an.
bypassed: trueZeigt Warnungen für Geheimnisse an, bei denen der Pushschutz umgangen wurde. Weitere Informationen finden Sie unter Informationen zum Pushschutz.
validity:activeZeigt Warnungen für Geheimnisse an, die als aktiv bekannt sind. Weitere Informationen zu Gültigkeitsstatus findest du unter Bewerten von Warnungen aus der Geheimnisüberprüfung.
validity:inactiveZeigt Warnungen für Geheimnisse an, die nicht mehr aktiv sind.
validity:unknownZeigt Warnungen für Geheimnisse an, bei denen der Gültigkeitsstatus des Geheimnisses unbekannt ist.
secret-type:SECRET-NAMEZeigt Warnungen für einen bestimmten Geheimnistyp an, z. B. secret-type:github_personal_access_token. Eine Liste unterstützter Geheimnistypen findest du unter Unterstützte Scanmuster für geheime Schlüssel.
provider:PROVIDER-NAMEZeigt Warnungen für einen bestimmten Anbieter an, z. B. provider:github. Eine Liste unterstützter Partner findest du unter Unterstützte Scanmuster für geheime Schlüssel.
results:defaultZeigt Warnungen für unterstützte Geheimnisse und benutzerdefinierte Muster beziehen. Eine Liste unterstützter Muster findest du unter Unterstützte Scanmuster für geheime Schlüssel.
results:experimentalZeigt Warnungen für Nicht-Anbietermuster an, z. B. private Schlüssel, und KI-erkannte generische Geheimnisse, z. B. Kennwörter. Eine Liste unterstützter Nicht-Anbietermuster findest du unter Unterstützte Scanmuster für geheime Schlüssel. Informationen zum Anzeigen von durch KI ermittelten Warnungen für generische Geheimnisse findest du unter Verantwortungsvolle Erkennung generischer Geheimnisse mit Copilot Geheimnisüberprüfung.

Nächste Schritte