Hinweis: Dein Websiteadministrator muss secret scanning für deine GitHub Enterprise Server-Instanz aktivieren, damit du dieses Feature verwenden kannst. Weitere Informationen findest du unter Konfigurieren der Geheimnisüberprüfung für deine Appliance.
Hinweis: Secret scanning als Schutzpush liegt derzeit als Betaversion vor und kann noch geändert werden.
Informationen zum Pushschutz für Geheimnisse
Bisher hat secret scanning nach einem Push nach Geheimnissen gesucht und Benutzer über kompromittierte Geheimnisse benachrichtigt. Wenn du den Pushschutz aktivierst, prüft secret scanning auch Pushnachrichten auf Geheimnisse mit hoher Vertrauenswürdigkeit (solche, die mit einer geringen False-Positive-Rate identifiziert wurden). Secret scanning listet alle erkannten Geheimnisse auf, sodass der Autor die Geheimnisse überprüfen und entfernen oder, falls erforderlich, die Weitergabe dieser Geheimnisse per Push erlauben kann.
Wenn Mitwirkende einen Pushschutzblock für ein Geheimnis umgehen, werden in GitHub folgende Schritte ausgeführt:
- Erstellen einer Warnung auf der Registerkarte Sicherheit des Repositorys in dem in der folgenden Tabelle beschriebenen Zustand
- Hinzufügen des Umgehungsereignis zum Überwachungsprotokoll
Diese Tabelle zeigt das Verhalten von Warnungen für die einzelnen Methoden, mit denen ein Benutzer einen Pushschutzblock umgehen kann.
| Grund der Umgehung | Warnungsverhalten |
|---|---|
| Wird in Tests verwendet. | GitHub erstellt eine geschlossene Warnung, die als „In Tests verwendet“ aufgelöst wurde. |
| Ist ein falsch positives Ergebnis. | GitHub erstellt eine geschlossene Warnung, die als „False Positive“ aufgelöst wurde. |
| Wird später behoben. | GitHub erstellt eine offene Warnung. |
Weitere Informationen zu Geheimnissen und Dienstanbietern, für die der Pushschutz unterstützt wird, findest du unter Geheimnisüberprüfungsmuster.
Aktivieren von secret scanning als Pushschutz
Damit du secret scanning als Pushschutz verwenden können, muss die Organisation oder das Repository sowohl GitHub Advanced Security als auch secret scanning aktiviert haben. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation, Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und Informationen zu GitHub Advanced Security.
Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Repositoryadministrator*innen können den Pushschutz für secret scanning über die Benutzeroberfläche und die API aktivieren. Weitere Informationen findest du unter Repositorys. Erweitere den Abschnitt „Eigenschaften des security_and_analysis-Objekts“ in der REST-API-Dokumentation.
Aktivieren von secret scanning als Pushschutz für eine Organisation
-
Navigiere auf deine GitHub Enterprise Server-Instanz zur Hauptseite der Organisation. 1. Klicke unter deinem Organisationsnamen auf Einstellungen.
-
Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.
-
Suche unter „Codesicherheit und Analyse“ GitHub Advanced Security". 1. Klicke unter „Secret scanning“ unter „Pushschutz“ auf Alle aktivieren.
-
Klicke optional auf „Automatisch für zu secret scanning hinzugefügte Repositorys aktivieren“.
Aktivieren von secret scanning als Pushschutz für ein Repository
- Navigiere auf deine GitHub Enterprise Server-Instanz zur Hauptseite des Repositorys. 1. Klicke unter dem Repositorynamen auf Einstellungen.
- Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.
- Suche unter „Codesicherheit und Analyse“ GitHub Advanced Security". 1. Klicke unter „Secret scanning“ unter „Pushschutz“ auf Aktivieren.
Verwenden von Geheimnisscans als Pushschutz über die Befehlszeile
Wenn du ein unterstütztes Geheimnis mit secret scanning als Pushschutz an ein Repository oder eine Organisation pushen möchtest, blockiert GitHub den Push. Du kannst das Geheimnis aus deinem Branch entfernen oder auf eine bereitgestellte URL klicken, um den Push zuzulassen.
In der Befehlszeile werden jeweils bis zu fünf erkannte Geheimnisse angezeigt. Wenn ein bestimmtes Geheimnis schon im Repository erkannt wurde und bereits eine Warnung existiert, blockiert GitHub das Geheimnis nicht.
Wenn du bestätigen konntest, dass es sich wirklich um ein Geheimnis handelt, musst du dieses vor dem nächsten Push aus deinem Branch und allen Commits entfernen, in denen es vorkommt. Weitere Informationen zum Korrigieren von blockierten Geheimnissen findest du unter Pushen eines durch Pushschutz blockierten Branches.
Wenn du bestätigst, dass ein Geheimnis echt ist und du es später beheben möchtest, solltest du das Geheimnis so schnell wie möglich beheben. Du kannst beispielsweise das Geheimnis widerrufen und aus dem Commitverlauf des Repositorys entfernen. Falls tatsächliche Geheimnisse offengelegt wurden, müssen diese widerrufen werden, um nicht autorisierten Zugriff zu verhindern. Du kannst das Geheimnis auch rotieren, bevor du es widerrufst. Weitere Informationen findest du unter Entfernen vertraulicher Daten aus einem Repository.
Hinweise:
- Wenn deine Git-Konfiguration das Pushen an mehrere Branches und nicht nur an den aktuellen Branch unterstützt, wird dein Push möglicherweise blockiert, weil zusätzliche und unbeabsichtigte Verweise gepusht werden. Weitere Informationen findest du unter
push.default-Optionen in der GitHub-Dokumentation. - Wenn für secret scanning bei einem Push ein Timeout auftritt, scannt GitHub die Commits nach dem Pushen trotzdem auf Geheimnisse.
Tipp: Du kannst secret scanning als Pushschutz über die Webbenutzeroberfläche sowie über die Befehlszeile in GitHub Enterprise Server Version 3.6 oder höher verwenden.
Zulassen, dass ein blockiertes Geheimnis gepusht wird
Wenn GitHub ein Geheimnis blockiert, von dem du denkst, dass es sicher gepusht werden kann, kannst du das Geheimnis zulassen und den Grund angeben, warum es zugelassen werden soll.
Wenn du das Pushen eines Geheimnisses zulässt, wird auf der Registerkarte Sicherheit eine Warnung erstellt. GitHub schließt diese Warnung und sendet keine Benachrichtigung, wenn du angibst, dass das Geheimnis ein False Positive ist oder nur in Tests verwendet wird. Wenn du angibst, dass das Geheimnis echt ist und das Problem später behoben wird, lässt GitHub die Sicherheitsbenachrichtigung offen und sendet Benachrichtigungen an dendie Autorin des Commits sowie an die Repositoryadministrator*innen. Weitere Informationen findest du unter Verwalten von Warnungen aus der Geheimnisüberprüfung.
- Klicke auf die URL, die von GitHub zurückgegeben wird, wenn dein Push blockiert wurde.
- Wenn das Geheimnis nur in Tests verwendet wird und keine Bedrohung darstellt, klicke auf It's used in tests (Wird in Tests verwendet).
- Wenn die erkannte Zeichenfolge kein Geheimnis ist, klicke auf It's a false positive (Es handelt sich um einen False Positive).
- Wenn das Geheimnis echt ist, du es jedoch später beheben möchtest, klicke auf I'll fix it later (Problem wird später behoben).
- Klicke auf Allow me to push this secret (Pushen dieses Geheimnisses zulassen).
- Wiederhole den Push innerhalb von drei Stunden über die Befehlszeile. Wenn du innerhalb von drei Stunden keinen Push durchgeführt hast, musst du diesen Vorgang wiederholen.
