Skip to main content

Problembehandlung bei der Geheimnisüberprüfung

Wenn du Probleme mit der secret scanning hast, kannst du diese Tipps befolgen, um sie zu beheben.

Who can use this feature?

Warnungen zur Geheimnisüberprüfung für Partner wird automatisch in öffentlichen Repositorys und öffentlichen npm-Paketen ausgeführt, um Dienstanbieter über kompromittierte Geheimnisse auf GitHub.com zu informieren.

Warnungen zur Geheimnisüberprüfung für Benutzerinnen sind in allen öffentlichen Repositorys kostenlos verfügbar. Organisationen, die GitHub Enterprise Cloud mit einer Lizenz für GitHub Advanced Security verwenden, können Warnungen zur Geheimnisüberprüfung für Benutzerinnen für ihre privaten und internen Repositorys aktivieren. Weitere Informationen findest du unter Informationen zur Geheimnisüberprüfung und Informationen zu GitHub Advanced Security.

Informationen zum kostenlosen Testen von GitHub Advanced Security sind unter „Einrichten einer Testversion von GitHub Advanced Security“ zu finden.

Erkennung von Musterpaaren

Secret scanning erkennt Musterpaare wie AWS-Zugriffsschlüssel und -Geheimnisse nur, wenn die ID und das Geheimnis in derselben Datei gefunden werden und beide in das Repository gepusht werden. Der Paarabgleich hilft dabei, falsch positive Ergebnisse zu reduzieren, da beide Elemente eines Paares (die ID und das Geheimnis) zusammen verwendet werden müssen, um auf die Ressource des Anbieters zuzugreifen.

Paare, die in verschiedene Dateien oder nicht in dasselbe Repository gepusht werden, führen nicht zu Warnungen. Weitere Informationen zu den unterstützten Musterpaaren findest du in der Tabelle unter Geheimnisüberprüfungsmuster.

Informationen zu GitHub-Legacytoken

Bei GitHub-Token überprüfen wir die Gültigkeit des Geheimnisses, um zu ermitteln, ob es aktiv oder inaktiv ist. Das bedeutet, dass secret scanning bei Legacytoken kein personal access token von GitHub Enterprise Server in GitHub Enterprise Cloud erkennt. Ebenso wird ein personal access token von GitHub Enterprise Cloud nicht in GitHub Enterprise Server gefunden.

Pushschutzbeschränkungen

Wenn der Pushschutz ein Geheimnis nicht erkannt hat, das deiner Meinung nach erkannt werden sollte, solltest du zuerst überprüfen, ob der Pushschutz den Geheimnistyp in der Liste der unterstützten Geheimnisse enthält. Weitere Informationen findest du unter Geheimnisüberprüfungsmuster.

Wenn dein Geheimnis in der Liste enthalten ist, kann es verschiedene Gründe geben, warum der Pushschutz es nicht erkennt.

  • Der Pushschutz blockiert durchgesickerte Geheimnisse nur für eine Teilmenge der bekanntesten Benutzerwarnungsmuster. Mitwirkende können sicherheitsrelevanten Schutzmechanismen vertrauen, wenn solche Geheimnisse blockiert werden, da es sich um die Muster handelt, die die niedrigste Anzahl falsch positiver Ergebnisse aufweisen.
  • Die Version deines Geheimnisses ist möglicherweise veraltet. Ältere Versionen bestimmter Token werden möglicherweise nicht vom Pushschutz unterstützt, da diese Token mehr falsch positive Ergebnisse generieren könnten als die neueste Version. Der Pushschutz gilt möglicherweise auch nicht für Legacytoken. Für Token wie Azure Storage-Schlüssel unterstützt GitHub nur kürzlich erstellte Token, also keine Token, die den Legacymustern entsprechen.
  • Der Push kann beispielsweise zu groß sein, wenn du versuchst, Tausende von großen Dateien zu pushen. Wenn der Push zu groß ist, kann beim Pushschutzscan ein Timeout auftreten, wodurch eine Benutzerin nicht blockiert wird. GitHub überprüft und erstellt bei Bedarf auch nach dem Push Warnungen.
  • Wenn der Push zur Erkennung von mehr als fünf neuen Geheimnissen führt, werden maximal die ersten fünf angezeigt.
  • Wenn ein Push mehr als 1.000 bekannte Geheimnisse enthält (d. h. Geheimnisse, für die bereits Warnungen erstellt wurden), blockiert der Pushschutz den Push nicht.