Hinweis: Dein Websiteadministrator muss secret scanning für deine GitHub Enterprise Server-Instanz aktivieren, damit du dieses Feature verwenden kannst. Weitere Informationen findest du unter Konfigurieren der Geheimnisüberprüfung für deine Appliance.
Möglicherweise kannst du secret scanning nicht aktivieren oder deaktivieren, wenn eine Unternehmensbesitzerin eine GitHub Advanced Security-Richtlinie (GHAS) auf Unternehmensebene festgelegt hat. Weitere Informationen findest du unter Erzwingen von Richtlinien für die Codesicherheit und -analyse für Unternehmen.
Informationen zu secret scanning
Wenn dein Projekt mit einem externen Dienst kommuniziert, verwende allenfalls ein Token oder einen privaten Schlüssel für die Authentifizierung. Token und private Schlüssel sind Beispiele für Geheimnisse, die ein Dienstanbieter ausstellen kann. Wenn du ein Geheimnis in ein Repository einfügst, kann jedermann mit Lesezugriff auf das Repository das Geheimnis verwenden, um mit deinen Privilegien auf den externen Dienst zuzugreifen. Wir empfehlen, dass du Geheimnisse an einem dedizierten, sicheren Ort außerhalb deines Projekt-Repositorys speicherst.
Secret scanning überprüft den gesamten Git-Verlauf aller Branches in deinem GitHub-Repository auf Geheimnisse, selbst wenn das Repository archiviert ist.
Du kannst die Aktionen, die als Reaktion auf secret scanning-Warnungen ergriffen wurden, mit GitHub-Tools überprüfen. Weitere Informationen findest du unter Prüfen von Sicherheitswarnungen.
Du kannst secret scanning auch als Pushschutz für ein Repository oder eine Organisation aktivieren. Wenn du dieses Feature aktivierst, verhindert secret scanning, dass Mitwirkende Code mit einem erkannten Geheimnis pushen. Um fortzufahren, müssen die Mitwirkenden entweder das Geheimnis aus dem Push entfernen oder ggf. den Schutz umgehen. Administratoren können außerdem einen benutzerdefinierten Link angeben, der dem Mitwirkenden angezeigt wird, wenn ein Push blockiert wird.Der Link kann organisationsspezifische Ressourcen enthalten, um den Mitwirkenden zu helfen. Weitere Informationen findest du unter Pushschutz für Repositorys und Organisationen.
Hinweis: Wenn Sie ein Repository mit aktiviertem secret scanning oder Push-Schutz forken, sind diese Features nicht standardmäßig für den Fork aktiviert. Die Aktivierung von secret scanning oder des Push-Schutzes für den Fork ist auf die gleiche Weise möglich wie für ein eigenständiges Repository.
Informationen zu Geheimnisüberprüfung in GitHub Enterprise Server
Geheimnisüberprüfung steht im Rahmen von GitHub Advanced Security für alle organisationseigenen Repositorys zur Verfügung. Das Feature ist für benutzereigene Repositorys nicht verfügbar. Wenn du secret scanning für ein Repository aktivierst, überprüft GitHub den Code auf Muster, die von vielen Dienstanbietern verwendeten Geheimnissen entsprechen.
Wenn ein unterstütztes Geheimnis geleakt wurde, erzeugt GitHub Enterprise Server eine secret scanning-Warnung. Weitere Informationen findest du unter Secret scanning patterns.
Als Repositoryadministrator*in kannst du Geheimnisüberprüfung für ein beliebiges Repository aktivieren, einschließlich archivierter Repositorys. Organisationsbesitzer können Geheimnisüberprüfung auch für alle Repositorys oder für alle neuen Repositorys innerhalb einer Organisation aktivieren. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.
Du kannst außerdem benutzerdefinierte secret scanning-Muster für ein Repository, deine Organisation oder dein Unternehmen definieren. Weitere Informationen findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.
Zugreifen auf Warnungen zur Geheimnisüberprüfung
Wenn du secret scanning für ein Repository aktivierst oder Commits in ein Repository pushst, wobei secret scanning aktiviert ist, überprüft GitHub den Inhalt auf Geheimnisse, die mit von Dienstanbietern definierten Mustern sowie jeglichen benutzerdefinierten Mustern, die in deinem Unternehmen, deiner Organisation oder deinem Repository definiert sind, übereinstimmen.
Wenn secret scanning ein Geheimnis in einem Commit erkennt, generiert GitHub eine Warnung.
- GitHub sendet E-Mail-Warnungen zu den Repository-Administratoren und den Organisations-Inhabern. Du erhältst eine Warnung, wenn du das Repository überwachst und wenn du Benachrichtigungen entweder für Sicherheitswarnungen oder für alle Aktivitäten im Repository aktiviert hast.
- Wenn die Person, die das Geheimnis in den Commit eingegeben hat, das Repository nicht ignoriert, sendet GitHub der Person ebenfalls eine Warnung per E-Mail. Die E-Mails enthalten einen Link zur entsprechenden secret scanning-Warnung. Die Person, die das Geheimnis eingegeben hat, kann die Warnung im Repository anzeigen und dann lösen.
- GitHub zeigt eine Warnung auf der Registerkarte Sicherheit des Repositorys an.
Weitere Informationen zum Anzeigen und Auflösen von Warnungen zur Geheimnisüberprüfung findest du unter Verwalten von Warnungen aus der Geheimnisüberprüfung.
Repositoryadministratoren und Organisationsbesitzer können Benutzern und Teams Zugriff auf Warnungen zur Geheimnisüberprüfung gewähren. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.
In der Sicherheitsübersicht kannst du auf Organisationsebene anzeigen, für welche Repositorys secret scanning aktiviert wurde und welche Warnungen gefunden wurden. Weitere Informationen findest du unter Informationen zur Sicherheitsübersicht.
Du kannst auch die REST-API verwenden, um die Ergebnisse der secret scanning in deinen Repositorys oder deiner Organisation zu überwachen. Weitere Informationen zu API-Endpunkten findest du unter Geheime Überprüfung.