Skip to main content

Geheimnisüberprüfungsmuster

Listen der unterstützten Geheimnisse und der Partner, mit denen GitHub zusammenarbeitet, um betrügerische Verwendung von versehentlich committeten Geheimnissen zu verhindern

Wer kann dieses Feature verwenden?

Warnungen zur Geheimnisüberprüfung für Partner wird automatisch in öffentlichen Repositorys und öffentlichen npm-Paketen ausgeführt, um Dienstanbieter über kompromittierte Geheimnisse auf GitHub.com zu informieren.

Warnungen zur Geheimnisüberprüfung für Benutzerinnen sind in allen öffentlichen Repositorys kostenlos verfügbar. Organisationen, die GitHub Enterprise Cloud mit einer Lizenz für GitHub Advanced Security verwenden, können Warnungen zur Geheimnisüberprüfung für Benutzerinnen für ihre privaten und internen Repositorys aktivieren. Weitere Informationen findest du unter Informationen zur Geheimnisüberprüfung und Informationen zu GitHub Advanced Security.

Informationen zum kostenlosen Testen von GitHub Advanced Security sind unter „Einrichten einer Testversion von GitHub Advanced Security“ zu finden.

Informationen zu secret scanning-Mustern

GitHub Enterprise Cloud verfügt über diese Arten von secret scanning-Standardmustern:

  1. Partnermuster: Diese Muster werden verwendet, um potenzielle Geheimnisse in allen öffentlichen Repositorys sowie öffentlichen npm-Paketen zu erkennen. Informationen zu unserem Partnerprogramm findest du unter Partnerprogramm für die Geheimnisüberprüfung.

  2. Benutzerwarnungsmuster. Dienen zum Ermitteln potenzieller Geheimnisse in Repositorys mit aktivierten Warnungen zur Geheimnisüberprüfung für Benutzer*innen.

  3. Pushschutzmuster: Diese Muster werden verwendet, um potenzielle Geheimnisse in Repositorys mit dem zum Pushschutz aktivierten Feature „secret scanning“ zu erkennen.

Ausführliche Informationen zu allen unterstützten Mustern findest du weiter unten im Abschnitt Unterstützte Geheimnisse.

Wenn du der Meinung bist, dass secret scanning ein Geheimnis erkannt haben sollte, das in dein Repository committet wurde, aber dieses nicht erkannt wurde, musst du zuerst überprüfen, ob GitHub dein Geheimnis unterstützt. Weitere Informationen findest du in den folgenden Abschnitten. Fortgeschrittenere Informationen zur Problembehandlung findest du unter Problembehandlung bei der Geheimnisüberprüfung.

Informationen zu Partnerwarnungen

Partnerwarnungen sind Warnungen, die an die Geheimnisanbieter gesendet werden, wenn ein Geheimnisleck für eines ihrer Geheimnisse gemeldet wird. GitHub Enterprise Cloud überprüft derzeit öffentliche Repositorys und öffentliche npm-Pakete auf Geheimnisse, die von den jeweiligen Dienstanbietern ausgegeben wurden, und benachrichtigt den entsprechenden Dienstanbieter, wenn ein Geheimnis in einem Commit erkannt wird. Weitere Informationen zu Warnungen zur Geheimnisüberprüfung für Partner findest du unter Informationen zur Geheimnisüberprüfung.

Wenn der Zugriff auf eine Ressource gekoppelte Anmeldeinformationen erfordert, löst die Überprüfung des Geheimnisses nur dann eine Warnung aus, wenn beide Teile der Kopplung in derselben Datei erkannt werden. So wird sichergestellt, dass die wichtigsten Lecks nicht hinter Informationen über partielle Lecks versteckt bleiben. Der Paarabgleich hilft auch dabei, falsch positive Ergebnisse zu reduzieren, da beide Elemente eines Paares zusammen verwendet werden müssen, um auf die Ressource des Anbieters zuzugreifen.

Informationen zu Benutzerwarnungen Warnungen

Benutzerwarnungen sind Warnungen, die Benutzerinnen auf GitHub angezeigt werden. Wenn Warnungen zur Geheimnisüberprüfung für Benutzerinnen aktiviert sind, durchsucht GitHub-Repositorys nach Geheimnissen, die von vielen verschiedenen Dienstanbietern ausgegeben wurden, und generiert Warnungen zur Geheimnisüberprüfung.

User -Warnungen können die folgenden Typen aufweisen:

  • Warnungen mit hoher Vertrauenswürdigkeit, die sich auf unterstützte Muster und angegebene benutzerdefinierte Muster beziehen.
  • Nicht-Anbieter-Warnungen, die einen höheren Anteil an Fehlalarmen aufweisen und Geheimnisse wie private Schlüssel betreffen.

GitHub zeigt Warnungen von Nicht-Anbietern in einer anderen Liste an als Warnungen mit hoher Vertrauenswürdigkeit, was die Triagierung für die Benutzer verbessert. Weitere Informationen findest du unter „Verwalten von Warnungen aus Nicht-Anbietermustern“.

Hinweis: Die Erkennung von Nicht-Anbietermustern befindet sich derzeit in der Betaversion und kann geändert werden.

Du kannst diese Warnungen auf der Registerkarte Sicherheit des Repositorys einsehen. Weitere Informationen zu Warnungen zur Geheimnisüberprüfung für Benutzer*innen findest du unter Informationen zur Geheimnisüberprüfung.

Wenn der Zugriff auf eine Ressource gekoppelte Anmeldeinformationen erfordert, löst die Überprüfung des Geheimnisses nur dann eine Warnung aus, wenn beide Teile der Kopplung in derselben Datei erkannt werden. So wird sichergestellt, dass die wichtigsten Lecks nicht hinter Informationen über partielle Lecks versteckt bleiben. Der Paarabgleich hilft auch dabei, falsch positive Ergebnisse zu reduzieren, da beide Elemente eines Paares zusammen verwendet werden müssen, um auf die Ressource des Anbieters zuzugreifen.

Wenn du die REST-API für die Geheimnisüberprüfung verwendest, kannst du den Geheimnistyp (Secret type) verwenden, um Berichte für Geheimnisse von bestimmten Ausstellern zu erstellen. Weitere Informationen findest du unter Geheime Überprüfung.

Hinweis: Du kannst außerdem benutzerdefinierte secret scanning-Muster für dein Repository, deine Organisation oder dein Unternehmen definieren. Weitere Informationen findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.

Informationen zu Pushschutzwarnungen

Pushschutzwarnungen sind Benutzerwarnungen, die vom Pushschutz gemeldet werden. Secret scanning überprüft als Pushschutz derzeit Repositorys auf Geheimnisse, die von den einigen Dienstanbietern ausgestellt wurden.

Pushschutzwarnungen werden nicht für geheime Schlüssel erstellt, die nur mit benutzerbasiertem Pushschutz umgangen werden. Weitere Informationen finden Sie unter Pushschutz für Benutzer.

Wenn der Zugriff auf eine Ressource gekoppelte Anmeldeinformationen erfordert, löst die Überprüfung des Geheimnisses nur dann eine Warnung aus, wenn beide Teile der Kopplung in derselben Datei erkannt werden. So wird sichergestellt, dass die wichtigsten Lecks nicht hinter Informationen über partielle Lecks versteckt bleiben. Der Paarabgleich hilft auch dabei, falsch positive Ergebnisse zu reduzieren, da beide Elemente eines Paares zusammen verwendet werden müssen, um auf die Ressource des Anbieters zuzugreifen.

Ältere Versionen bestimmter Token werden möglicherweise nicht vom Pushschutz unterstützt, da diese Token mehr falsch positive Ergebnisse generieren könnten als die neueste Version. Der Pushschutz gilt möglicherweise auch nicht für Legacytoken. Für Token wie Azure Storage-Schlüssel unterstützt GitHub nur kürzlich erstellte Token, also keine Token, die den Legacymustern entsprechen. Weitere Informationen zu Einschränkungen beim Pushschutz findest du unter Problembehandlung bei der Geheimnisüberprüfung.

Unterstützte Geheimnisse

In dieser Tabelle sind die von der secret scanning unterstützten Geheimnisse aufgeführt. Du kannst sehen, welche Warnungstypen für jedes Token generiert werden, und ob eine Gültigkeitsprüfung für das Token durchgeführt wird.

  • Anbieter: Name des Tokenanbieters

  • Partner: Das ist das Token, für das dem relevanten Tokenpartner Lecks gemeldet werden. Es gilt nur für öffentliche Repositorys.

  • Benutzer: Das ist das Token, für das Benutzer*innen auf GitHub. Lecks gemeldet werden.

    • Gilt für öffentliche und private Repositorys, bei denen GitHub Advanced Security, secret scanning ist.
    • Enthält Token mit hoher Vertrauenswürdigkeit, die sich auf unterstützte Muster und angegebene benutzerdefinierte Muster beziehen, sowie Nicht-Anbietertoken wie private Schlüssel, die in der Regel ein höheres Verhältnis falsch positiver Ergebnisse aufweisen.
    • Damit secret scanning nach Nicht-Anbietermustern suchen kann, muss die Erkennung von Nicht-Anbietermustern für das Repository oder die Organisation aktiviert sein. Weitere Informationen findest du unter Konfigurieren der Geheimnisüberprüfung für deine Repositorys.

    Hinweis: Die Erkennung von Nicht-Anbietermustern befindet sich derzeit in der Betaversion und kann geändert werden.

aktiviert haben.

  • Pushschutz: Das ist das Token, für das Benutzer*innen auf GitHub Lecks gemeldet werden. Gilt für Repositorys mit secret scanning und aktiviertem Pushschutz.

    Hinweis: Ältere Versionen bestimmter Token werden möglicherweise nicht vom Pushschutz unterstützt, da diese Token mehr falsch positive Ergebnisse generieren könnten als die neueste Version. Der Pushschutz gilt möglicherweise auch nicht für Legacytoken. Für Token wie Azure Storage-Schlüssel unterstützt GitHub nur kürzlich erstellte Token, also keine Token, die den Legacymustern entsprechen. Weitere Informationen zu Einschränkungen beim Pushschutz findest du unter „Problembehandlung bei der Geheimnisüberprüfung“.

  • Gültigkeitsüberprüfung: Das ist das Token, für das eine Gültigkeitsüberprüfung implementiert wird. Für Partnertoken sendet GitHub das Token an den relevanten Partner. Nicht alle Partner sind in den USA ansässig. Weitere Informationen finden Sie unter „Advanced Security“ in der Websiterichtliniendokumentation.{ %else %}

Nicht-Anbietermuster

Hinweis: Die Erkennung von Nicht-Anbietermustern befindet sich derzeit in der Betaversion und kann geändert werden.

AnbieterToken
generischhttp_basic_authentication_header
generischhttp_bearer_authentication_header
generischmongodb_connection_string
generischmysql_connection_string
generischopenssh_private_key
generischpgp_private_key
generischpostgres_connection_string
generischrsa_private_key

Pushschutz- und Gültigkeitsprüfungen werden für Nicht-Anbietermuster nicht unterstützt.

Muster mit hoher Konfidenz

AnbieterTokenPartnerBenutzerPushschutzGültigkeitsüberprüfung
Adafruit IOadafruit_io_key
Adobeadobe_client_secret
Adobeadobe_device_token
Adobeadobe_pac_token
Adobeadobe_refresh_token
Adobeadobe_service_token
Adobeadobe_short_lived_access_token
Aivenaiven_auth_token
Aivenaiven_service_password
Alibaba Cloudalibaba_cloud_access_key_id
alibaba_cloud_access_key_secret
Login with Amazonamazon_oauth_client_id
amazon_oauth_client_secret
Amazon Web Services (AWS)aws_access_key_id
aws_secret_access_key
Amazon Web Services (AWS)aws_session_token
aws_temporary_access_key_id
aws_secret_access_key
Anthropicanthropic_api_key
Asanaasana_personal_access_token
Atlassianatlassian_api_token
Atlassianatlassian_jwt
Atlassianbitbucket_server_personal_access_token
Authressauthress_service_client_access_key
Azureazure_active_directory_application_secret
Azureazure_batch_key_identifiable
Azureazure_cache_for_redis_access_key
Azureazure_container_registry_key_identifiable
Azureazure_cosmosdb_key_identifiable
Azureazure_devops_personal_access_token
Azureazure_function_key
Azureazure_ml_web_service_classic_identifiable_key
Azureazure_sas_token
Azureazure_search_admin_key
Azureazure_search_query_key
Azureazure_management_certificate
Azureazure_sql_connection_string
Azureazure_sql_password
Azureazure_storage_account_key
Baidubaiducloud_api_accesskey
Beamerbeamer_api_key
Canadian Digital Servicecds_canada_notify_api_key
Canvacanva_connect_api_secret
CashfreeCashfree API Key
Checkout.comcheckout_production_secret_key
Checkout.comcheckout_test_secret_key
Chief Toolschief_tools_token
Clojarsclojars_deploy_token
CloudBees CodeShipcodeship_credential
Contentfulcontentful_personal_access_token
Contributed SystemsCONTRIBUTED_SYSTEMS_CREDENTIALS
crates.io (Rust Foundation)cratesio_api_token
Databricksdatabricks_access_token
DatadogDATADOG_API_KEY
Defineddefined_networking_nebula_api_key
DevCycledevcycle_client_api_key
DevCycledevcycle_mobile_api_key
DevCycledevcycle_server_api_key
DigitalOceandigitalocean_oauth_token
DigitalOceandigitalocean_personal_access_token
DigitalOceandigitalocean_refresh_token
DigitalOceandigitalocean_system_token
Discorddiscord_api_token_v2
Discorddiscord_bot_token
Dockerdocker_personal_access_token
Dopplerdoppler_audit_token
Dopplerdoppler_cli_token
Dopplerdoppler_personal_token
Dopplerdoppler_scim_token
Dopplerdoppler_service_token
Dopplerdoppler_service_account_token
Dropboxdropbox_access_token
Dropboxdropbox_short_lived_access_token
Duffelduffel_live_access_token
Duffelduffel_test_access_token
Dynatracedynatrace_access_token
Dynatracedynatrace_internal_token
EasyPosteasypost_production_api_key
EasyPosteasypost_test_api_key
eBayebay_production_client_id
ebay_production_client_secret
eBayebay_sandbox_client_id
ebay_sandbox_client_secret
Fastlyfastly_api_token
Figmafigma_pat
Finicityfinicity_app_key
Flutterwaveflutterwave_live_api_secret_key
Flutterwaveflutterwave_test_api_secret_key
Frame.ioframeio_developer_token
Frame.ioframeio_jwt
FullStoryfullstory_api_key
GitHubgithub_app_installation_access_token
GitHubgithub_oauth_access_token
GitHubgithub_personal_access_token
GitHubgithub_refresh_token
GitHubgithub_ssh_private_key
GitLabgitlab_access_token
GoCardlessgocardless_live_access_token
GoCardlessgocardless_sandbox_access_token
Googlefirebase_cloud_messaging_server_key
Googlegoogle_cloud_storage_service_account_access_key_id
google_cloud_storage_access_key_secret
Googlegoogle_cloud_storage_user_access_key_id
google_cloud_storage_access_key_secret
Googlegoogle_oauth_access_token
Googlegoogle_oauth_client_id
google_oauth_client_secret
Googlegoogle_oauth_refresh_token
Google Cloudgoogle_api_key
Google Cloudgoogle_cloud_private_key_id
Grafanagrafana_cloud_api_key
Grafanagrafana_cloud_api_token
Grafanagrafana_project_api_key
Grafanagrafana_project_service_account_token
HashiCorphashicorp_vault_batch_token
HashiCorphashicorp_vault_root_service_token
HashiCorphashicorp_vault_service_token
Hashicorp Terraformterraform_api_token
Highnotehighnote_rk_live_key
Highnotehighnote_rk_test_key
Highnotehighnote_sk_live_key
Highnotehighnote_sk_test_key
Hophop_bearer
Hophop_pat
Hophop_ptk
Hubspothubspot_api_key
Hubspothubspot_api_personal_access_key
Intercomintercom_access_token
Ionicionic_personal_access_token
Ionicionic_refresh_token
JD Cloudjd_cloud_access_key
JFrogjfrog_platform_access_token
JFrogjfrog_platform_api_key
JFrogjfrog_platform_reference_token
Linearlinear_api_key
Linearlinear_oauth_access_token
Loblob_live_api_key
Loblob_test_api_key
LocalStacklocalstack_api_key
LogicMonitorlogicmonitor_bearer_token
LogicMonitorlogicmonitor_lmv1_access_key
Mailchimpmailchimp_api_key
MailchimpMANDRILL_API
Mailgunmailgun_api_key
Mapboxmapbox_secret_access_token
Maxmindmaxmind_license_key
Mercurymercury_non_production_api_token
Mercurymercury_production_api_token
MessageBirdmessagebird_api_key
Metafacebook_access_token
Midtransmidtrans_production_server_key
Midtransmidtrans_sandbox_server_key
New Relicnew_relic_insights_query_key
New Relicnew_relic_license_key
New Relicnew_relic_personal_api_key
New Relicnew_relic_rest_api_key
Notionnotion_integration_token
Notionnotion_oauth_client_secret
npmnpm_access_token
NuGetnuget_api_key
Octopus Deployoctopus_deploy_api_key
Oculusoculus_very_tiny_encrypted_session
OneChronosonechronos_api_key
OneChronosonechronos_eb_api_key
OneChronosonechronos_eb_encryption_key
OneChronosonechronos_oauth_token
OneChronosonechronos_refresh_token
Onfidoonfido_live_api_token
Onfidoonfido_sandbox_api_token
OpenAIopenai_api_key
OpenAIopenai_api_key_v2
Palantirpalantir_jwt
Personapersona_production_api_key
Personapersona_sandbox_api_key
Pinterestpinterest_access_token
Pinterestpinterest_refresh_token
PlanetScaleplanetscale_database_password
PlanetScaleplanetscale_oauth_token
PlanetScaleplanetscale_service_token
Plivoplivo_auth_id
plivo_auth_token
Postmanpostman_api_key
Postmanpostman_collection_key
Prefectprefect_server_api_key
Prefectprefect_user_api_key
PrefectPREFECT_USER_API_TOKEN
Proctorioproctorio_consumer_key
Proctorioproctorio_linkage_key
Proctorioproctorio_registration_key
Proctorioproctorio_secret_key
Pulumipulumi_access_token
PyPIpypi_api_token
ReadMereadmeio_api_access_token
redirect.pizzaredirect_pizza_api_token
Rootlyrootly_api_key
RubyGemsrubygems_api_key
Samsarasamsara_api_token
Samsarasamsara_oauth_access_token
Segmentsegment_public_api_token
SendGridsendgrid_api_key
Sendinbluesendinblue_api_key
Sendinbluesendinblue_smtp_key
Shipposhippo_live_api_token
Shipposhippo_test_api_token
Shopifyshopify_access_token
Shopifyshopify_app_client_credentials
Shopifyshopify_app_client_secret
Shopifyshopify_app_shared_secret
Shopifyshopify_custom_app_access_token
Shopifyshopify_marketplace_token
Shopifyshopify_merchant_token
Shopifyshopify_partner_api_token
Shopifyshopify_private_app_password
Slackslack_api_token
Slackslack_incoming_webhook_url
Slackslack_workflow_webhook_url
Squaresquare_access_token
Squaresquare_production_application_secret
Squaresquare_sandbox_application_secret
SSLMatesslmate_api_key
SSLMatesslmate_cluster_secret
Stripestripe_live_restricted_key
Stripestripe_api_key
Stripestripe_legacy_api_key
Stripestripe_test_restricted_key
Stripestripe_test_secret_key
Stripestripe_webhook_signing_secret
Supabasesupabase_service_key
Tableautableau_personal_access_token
Telegramtelegram_bot_token
Telnyxtelnyx_api_v2_key
Tencent Cloudtencent_cloud_secret_id
Tencent WeChattencent_wechat_api_app_id
Twiliotwilio_access_token
Twiliotwilio_account_sid
Twiliotwilio_api_key
Typeformtypeform_personal_access_token
Uniwisewiseflow_api_key
WakaTimewakatime_pp_secret
WakaTimewakatime_oauth_access_token
WakaTimewakatime_oauth_refresh_token
Workatoworkato_developer_api_token
WorkOSworkos_production_api_key
WorkOSworkos_staging_api_key
Yandexyandex_iam_access_secret
Yandexyandex_cloud_api_key
Yandexyandex_cloud_iam_cookie
Yandexyandex_cloud_iam_token
Yandexyandex_cloud_smartcaptcha_server_key
Yandexyandex_dictionary_api_key
YandexYANDEX_PASSPORT_OAUTH_TOKEN
Yandexyandex_predictor_api_key
Yandexyandex_translate_api_key
Zuplozuplo_consumer_api_key

Weiterführende Themen