Überwachen von Warnungen aus der Geheimnisüberprüfung

Hier erfährst du, wie und wann GitHub dich über eine Geheimnisüberprüfungswarnung benachrichtigt.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

In diesem Artikel

Konfigurieren von Benachrichtigungen für Warnungen zur Geheimnisüberprüfung

Zusätzlich zum Anzeigen einer Warnung auf der Registerkarte Security des Repositorys kann GitHub auch E-Mail-Benachrichtigungen zu Warnungen senden. Diese Benachrichtigungen sehen bei inkrementellen Überprüfungen und verlaufsbezogenen Überprüfungen anders aus.

Inkrementelle Überprüfung

Wenn ein neues Geheimnis erkannt wird, benachrichtigt GitHub alle Benutzenden mit Zugriff auf Sicherheitswarnungen für das Repository entsprechend ihren Benachrichtigungseinstellungen. Zu diesen Benutzer gehören Folgenden:

  • Repositoryadministratoren
  • Sicherheitsmanager
  • Benutzer*innen mit benutzerdefinierten Rollen mit Lese-/Schreibzugriff
  • Organisationsbesitzerinnen und Unternehmensbesitzerinnen, wenn sie Administrator*innen von Repositorys sind, in denen Geheimnisse geleakt wurden

Note

Autoren, die versehentlich Geheimnisse committed haben, werden unabhängig von ihren Benachrichtigungseinstellungen benachrichtigt.

Du erhältst in folgenden Fällen eine E-Mail-Benachrichtigung:

  • Du überwachst das Repository.
  • Sie haben Benachrichtigungen für "Alle Aktivitäten" oder für benutzerdefinierte "Sicherheitswarnungen" im Repository aktiviert.
  • Du hast in deinen Benachrichtigungseinstellungen unter „Abonnements“ > „Beobachten“ ausgewählt, dass du Benachrichtigungen per E-Mail erhalten möchtest.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Um mit der Überwachung des Repositorys zu beginnen, wähle Überwachen aus.

    Screenshot der Hauptseite des Repositorys. Ein Dropdownmenü mit dem Titel „Überwachen“ ist in dunklem Orange eingerahmt.

  3. Klicke im Dropdownmenü auf Jede Aktivität. Um nur Sicherheitswarnungen zu abonnieren, klicke alternativ auf Benutzerdefiniert und dann auf Sicherheitswarnungen.

  4. Navigiere zu den Benachrichtigungseinstellungen für dein persönliches Konto. Diese sind unter https://github.com/settings/notifications verfügbar.

  5. Wähle auf der Seite mit den Benachrichtigungseinstellungen unter „Abonnements“ und dann unter „Beobachten“ die Dropdownliste Mich benachrichtigen aus.

  6. Wähle „E-Mail“ als Benachrichtigungsoption aus, und klicke dann auf Speichern.

    Screenshot der Benachrichtigungseinstellungen für ein Benutzerkonto. Unter „Subscriptions“ und „Watching“ ist das Kontrollkästchen „Email“ orange umrandet.

Weitere Informationen zum Einrichten der Benachrichtigungseinstellungen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Konfigurieren von Überwachungseinstellungen für ein einzelnes Repository.

Verlaufsbezogene Überprüfungen

Bei Verlaufsüberprüfungen benachrichtigt GitHub die folgenden Benutzenden:

  • Organisationsbesitzerinnen, Unternehmensbesitzerinnen und Sicherheitsmanager – immer dann, wenn eine verlaufsbezogene Überprüfen abgeschlossen ist, auch wenn keine Geheimnisse gefunden werden
  • Repositoryadministratorinnen, Sicherheitsmanager und Benutzerinnen mit benutzerdefinierten Rollen mit Lese-/Schreibzugriff – immer dann, wenn bei einer verlaufsbezogenen Überprüfung ein Geheimnis erkannt wird, und entsprechend ihren Benachrichtigungseinstellungen

Commitautoren werden nicht benachrichtigt.

Weitere Informationen zum Einrichten der Benachrichtigungseinstellungen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Konfigurieren von Überwachungseinstellungen für ein einzelnes Repository.

Überwachungsantworten auf Warnungen zur Geheimnisüberprüfung

Du kannst die Aktionen, die als Reaktion auf secret scanning-Warnungen ergriffen wurden, mit GitHub-Tools überprüfen. Weitere Informationen finden Sie unter Prüfen von Sicherheitswarnungen.