Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Aktuelle Informationen findest du in der englischsprachigen Dokumentation.
All products
Codesicherheit

Verwalten von Warnungen aus der Geheimnisüberprüfung

In diesem Artikel

Du kannst Warnungen für Geheimnisse, die in deinem Repository geprüft wurden, anzeigen und schließen.

Wer kann dieses Feature verwenden?

People with admin access to a repository can view and dismiss secret scanning alerts for the repository.

Secret scanning ist für organisationseigene Repositorys in GitHub Enterprise Server verfügbar, wenn dein Unternehmen über eine Lizenz für GitHub Advanced Security verfügt. Weitere Informationen findest du unter Informationen zur Geheimnisüberprüfung und Informationen zu GitHub Advanced Security.

Verwalten von Warnungen zur Geheimnisüberprüfung

  1. Navigiere auf deine GitHub Enterprise Server-Instanz zur Hauptseite des Repositorys. 1. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus. Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.
  2. Klicke auf der linken Randleiste unter „Sicherheitsrisikowarnungen“ auf Secret scanning .
  3. Klicke unter „Secret scanning“ auf die Warnung, die du anzeigen möchtest.

1 Um eine Warnung zu schließen, wähle das Dropdownmenü „Markieren als“ aus, und klicke auf einen Grund zum Beheben einer Warnung.

Kompromittierte Geheimnisse sichern

Sobald ein Geheimnis an ein Repository übergeben wurde, solltest du das Geheimnis als kompromittiert betrachten. GitHub empfiehlt die folgenden Aktionen für kompromittierte Geheimnisse:

  • Lösche bei einem kompromittierten persönlichen Zugriffstoken für GitHub personal access token das kompromittierte Token, erstelle ein neues Token und aktualisiere alle Dienste, die das alte Token verwenden. Weitere Informationen findest du unter Erstellen eines persönlichen Zugriffstokens.
  • Für alle anderen Geheimnisse überprüfe zuerst, dass das per Commit an GitHub Enterprise Server übergebene Geheimnis gültig ist. Wenn dies der Fall ist, erstelle ein neues Geheimnis, aktualisiere alle Dienste, die das alte Geheimnis verwenden, und lösche dann das alte Geheimnis.

Konfigurieren von Benachrichtigungen für Warnungen zur Geheimnisüberprüfung

Wenn ein neues Geheimnis erkannt wird, benachrichtigt GitHub Enterprise Server alle Benutzer mit Zugriff auf Sicherheitswarnungen für das Repository entsprechend ihren Benachrichtigungseinstellungen. Du erhältst in folgenden Fällen eine E-Mail-Benachrichtigung:

  • Du überwachst das Repository.
  • Du hast Benachrichtigungen für „Jede Aktivität“ oder für benutzerdefinierte „Sicherheitswarnungen“ für das Repository aktiviert

Du wirst auch benachrichtigt, wenn du Autor*in des Commits bist, der das Geheimnis enthält, und wenn du das Repository nicht ignorierst.

Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Konfigurieren von Überwachungseinstellungen für ein einzelnes Repository.

Überwachungsantworten auf Warnungen zur Geheimnisüberprüfung

Du kannst die Aktionen, die als Reaktion auf secret scanning-Warnungen ergriffen wurden, mit GitHub-Tools überprüfen. Weitere Informationen findest du unter Prüfen von Sicherheitswarnungen.