Skip to main content

Problembehandlung bei der Geheimnisüberprüfung

Wenn Sie secret scanning verwenden, um Geheimnisse in Ihrem Repository zu erkennen, oder Geheimnisse, die in Ihr Repository übertragen werden sollen, müssen Sie möglicherweise unerwartete Probleme beheben.

Wer kann dieses Feature verwenden?

Secret scanning ist für unternehmenseigene Repositorys in GitHub Enterprise Server verfügbar, wenn Ihr Unternehmen eine Lizenz für GitHub Advanced Security besitzt. Weitere Informationen findest du unter Informationen zu Warnungen zur Geheimnisüberprüfung und Informationen zu GitHub Advanced Security.

Hinweis: Dein Websiteadministrator muss secret scanning für Ihre GitHub Enterprise Server-Instance aktivieren, damit du dieses Feature verwenden kannst. Weitere Informationen findest du unter Konfigurieren der Geheimnisüberprüfung für deine Appliance.

Möglicherweise kannst du secret scanning nicht aktivieren oder deaktivieren, wenn ein Unternehmensbesitzer eine Richtlinie auf Unternehmensebene festgelegt hat. Weitere Informationen findest du unter Erzwingen von Richtlinien für die Codesicherheit und -analyse für Unternehmen.

Erkennung von Musterpaaren

Secret scanning erkennt Musterpaare wie AWS-Zugriffsschlüssel und -Geheimnisse nur, wenn die ID und das Geheimnis in derselben Datei gefunden werden und beide in das Repository gepusht werden. Der Paarabgleich hilft dabei, falsch positive Ergebnisse zu reduzieren, da beide Elemente eines Paares (die ID und das Geheimnis) zusammen verwendet werden müssen, um auf die Ressource des Anbieters zuzugreifen.

Paare, die in verschiedene Dateien oder nicht in dasselbe Repository gepusht werden, führen nicht zu Warnungen. Weitere Informationen zu den unterstützten Musterpaaren findest du in der Tabelle unter Unterstützte Scanmuster für geheime Schlüssel.

Informationen zu GitHub-Legacytoken

Bei GitHub-Token überprüfen wir die Gültigkeit des Geheimnisses, um zu ermitteln, ob es aktiv oder inaktiv ist. Das bedeutet, dass secret scanning bei Legacytoken kein personal access token von GitHub Enterprise Server in GitHub Enterprise Cloud erkennt. Ebenso wird ein personal access token von GitHub Enterprise Cloud nicht in GitHub Enterprise Server gefunden.

Pushschutzbeschränkungen

Wenn der Pushschutz ein Geheimnis nicht erkannt hat, das deiner Meinung nach erkannt werden sollte, solltest du zuerst überprüfen, ob der Pushschutz den Geheimnistyp in der Liste der unterstützten Geheimnisse enthält. Weitere Informationen findest du unter Unterstützte Scanmuster für geheime Schlüssel.

Wenn dein Geheimnis in der Liste enthalten ist, kann es verschiedene Gründe geben, warum der Pushschutz es nicht erkennt.

  • Der Pushschutz blockiert durchgesickerte Geheimnisse nur für eine Teilmenge der bekanntesten Benutzerwarnungsmuster. Mitwirkende können sicherheitsrelevanten Schutzmechanismen vertrauen, wenn solche Geheimnisse blockiert werden, da es sich um die Muster handelt, die die niedrigste Anzahl falsch positiver Ergebnisse aufweisen.
  • Die Version deines Geheimnisses ist möglicherweise veraltet. Ältere Versionen bestimmter Token werden möglicherweise nicht vom Pushschutz unterstützt, da diese Token mehr falsch positive Ergebnisse generieren könnten als die neueste Version. Der Pushschutz gilt möglicherweise auch nicht für Legacytoken. Für Token wie Azure Storage-Schlüssel unterstützt GitHub nur kürzlich erstellte Token, also keine Token, die den Legacymustern entsprechen.
  • Der Push kann beispielsweise zu groß sein, wenn du versuchst, Tausende von großen Dateien zu pushen. Wenn der Push zu groß ist, kann beim Pushschutzscan ein Timeout auftreten, wodurch eine Benutzerin nicht blockiert wird. GitHub überprüft und erstellt bei Bedarf auch nach dem Push Warnungen.
  • Wenn der Push zur Erkennung von mehr als fünf neuen Geheimnissen führt, werden maximal die ersten fünf angezeigt.
  • Wenn ein Push mehr als 1.000 bekannte Geheimnisse enthält (d. h. Geheimnisse, für die bereits Warnungen erstellt wurden), blockiert der Pushschutz den Push nicht.