Hinweis: Dein Websiteadministrator muss secret scanning für deine GitHub Enterprise Server-Instanz aktivieren, damit du dieses Feature verwenden kannst. Weitere Informationen findest du unter Konfigurieren der Geheimnisüberprüfung für deine Appliance.
Informationen zu secret scanning
Wenn dein Projekt mit einem externen Dienst kommuniziert, verwende allenfalls ein Token oder einen privaten Schlüssel für die Authentifizierung. Token und private Schlüssel sind Beispiele für Geheimnisse, die ein Dienstanbieter ausstellen kann. Wenn du ein Geheimnis in ein Repository einfügst, kann jedermann mit Lesezugriff auf das Repository das Geheimnis verwenden, um mit deinen Privilegien auf den externen Dienst zuzugreifen. Wir empfehlen, dass du Geheimnisse an einem dedizierten, sicheren Ort außerhalb deines Projekt-Repositorys speicherst.
Secret scanning überprüft den gesamten Git-Verlauf aller Branches in deinem GitHub-Repository auf Geheimnisse, selbst wenn das Repository archiviert ist.
Du kannst die Aktionen, die als Reaktion auf secret scanning-Warnungen ergriffen wurden, mit GitHub-Tools überprüfen. Weitere Informationen findest du unter Prüfen von Sicherheitswarnungen.
Dienstleister können mit GitHub zusammenarbeiten, um ihre geheimen Formate zum Durchsuchen bereitzustellen. Informationen zu unserem Partnerprogramm findest du unter GitHub überprüft Repositorys auf bekannte Geheimnisformate, um die betrügerische Verwendung von Anmeldeinformationen zu verhindern, die versehentlich veröffentlicht wurden. in der GitHub Enterprise Cloud-Dokumentation.
Du kannst secret scanning auch als Pushschutz für ein Repository oder eine Organisation aktivieren. Wenn du dieses Feature aktivierst, verhindert secret scanning, dass Mitwirkende Code mit einem erkannten Geheimnis pushen. Um fortzufahren, müssen die Mitwirkenden entweder das Geheimnis aus dem Push entfernen oder ggf. den Schutz umgehen. Administratoren können außerdem einen benutzerdefinierten Link angeben, der dem Mitwirkenden angezeigt wird, wenn ein Push blockiert wird.Der Link kann organisationsspezifische Ressourcen enthalten, um den Mitwirkenden zu helfen. Weitere Informationen findest du unter Schützen von Pushes mit der Geheimnisüberprüfung.
Informationen zu Geheimnisüberprüfung in GitHub Enterprise Server
Geheimnisüberprüfung steht im Rahmen von GitHub Advanced Security für alle organisationseigenen Repositorys zur Verfügung. Das Feature ist für benutzereigene Repositorys nicht verfügbar. Wenn du secret scanning für ein Repository aktivierst, überprüft GitHub den Code auf Muster, die von vielen Dienstanbietern verwendeten Geheimnissen entsprechen. Wenn ein unterstütztes Geheimnis geleakt wurde, erzeugt GitHub Enterprise Server eine secret scanning-Warnung. Weitere Informationen findest du unter Secret scanning patterns.
Als Repositoryadministrator kannst du Geheimnisüberprüfung für ein beliebiges Repository aktivieren, einschließlich archivierter Repositorys. Organisationsbesitzer können Geheimnisüberprüfung auch für alle Repositorys oder für alle neuen Repositorys innerhalb einer Organisation aktivieren. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.
Du kannst außerdem benutzerdefinierte Muster für die secret scanning für ein Repository, eine Organisation oder ein Unternehmen definieren. Weitere Informationen findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.
Zugreifen auf Warnungen zur Geheimnisüberprüfung
Wenn du secret scanning für ein Repository aktivierst oder Commits in ein Repository pushst, wobei secret scanning aktiviert ist, überprüft GitHub den Inhalt dieser Commits auf Geheimnisse, die mit den von den Dienstanbietern definierten Mustern übereinstimmen und allen benutzerdefinierten Mustern, die in deinem Unternehmen, deiner Organisation oder deinem Repository definiert sind.
Wenn secret scanning ein Geheimnis erkennt, generiert GitHub eine Warnung.
- GitHub sendet E-Mail-Warnungen zu den Repository-Administratoren und den Organisations-Inhabern. Du erhältst eine Warnung, wenn du das Repository überwachst und wenn du Benachrichtigungen entweder für Sicherheitswarnungen oder für alle Aktivitäten im Repository aktiviert hast.
- Wenn der/die Mitwirkende, der oder die das Geheimnis committet hat, das Repository nicht ignoriert, sendet GitHub ebenfalls eine E-Mail-Warnung an den/die Mitwirkende*n. Die E-Mails enthalten einen Link zur entsprechenden secret scanning-Warnung. Der Commitautor kann die Warnung dann im Repository anzeigen und die Warnung auflösen.
- GitHub zeigt eine Warnung auf der Registerkarte Sicherheit des Repositorys an.
Weitere Informationen zum Anzeigen und Auflösen von Warnungen zur Geheimnisüberprüfung findest du unter Verwalten von Warnungen aus der Geheimnisüberprüfung.
Repositoryadministratoren und Organisationsbesitzer können Benutzern und Teams Zugriff auf Warnungen zur Geheimnisüberprüfung gewähren. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.
In der Sicherheitsübersicht kannst du auf Organisationsebene anzeigen, für welche Repositorys secret scanning aktiviert wurde und welche Warnungen gefunden wurden. Weitere Informationen findest du unter Anzeigen der Sicherheitsübersicht.
Du kannst auch die REST-API verwenden, um die Ergebnisse der secret scanning in deinen Repositorys oder deiner Organisation zu überwachen. Weitere Informationen zu API-Endpunkten findest du unter Secret scanning.