Verwalten von Warnungen zur Geheimnisüberprüfung
-
Navigiere auf deine GitHub Enterprise Server-Instanz zur Hauptseite des Repositorys.
-
Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.
-
Klicken Sie auf der linken Randleiste unter „Sicherheitsrisikowarnungen“ auf Secret scanning .
-
Klicken Sie unter "Secret scanning" auf die Meldung, die Sie anzeigen möchten.
-
Wenn es sich bei dem kompromittierten Geheimnis um ein GitHub-Token handelt, überprüfen Sie optional die Gültigkeit des Geheimnisses, und führen Sie die Korrekturschritte aus.
Hinweis: Die Gültigkeitsüberprüfung für GitHub-Token befindet sich derzeit in der öffentlichen Betaversion und kann noch geändert werden.
GitHub stellt nur für GitHub-Token Informationen zur Gültigkeit des Geheimnisses bereit.
Gültigkeitsdauer Ergebnis Aktives Geheimnis GitHub hat bestätigt, dass dieses Geheimnis aktiv ist. Aktives Geheimnis GitHub hat beim Anbieter dieses Geheimnisses nachgefragt und ermittelt, dass dieses Geheimnis aktiv ist. Möglicherweise aktives Geheimnis GitHub bietet noch keine Gültigkeitsüberprüfungen für diesen Tokentyp. Möglicherweise aktives Geheimnis GitHub konnte dieses Geheimnis nicht überprüfen. Geheimnis wird als inaktiv angezeigt Du solltest sicherstellen, dass noch kein unautorisierter Zugriff erfolgt ist. -
Um eine Warnung zu schließen, wählen Sie das Dropdownmenü „Schließen als“ aus, und klicken Sie auf einen Grund zum Beheben einer Warnung.
-
Füge optional im Feld „Kommentar“ einen Kommentar zum Schließen der Warnung hinzu. Der Kommentar zum Schließen wird der Zeitleiste der Warnung hinzugefügt und kann bei Prüfungen und Berichterstellungen als Begründung verwendet werden. Du kannst den Verlauf aller geschlossenen Warnungen und zugehörigen Kommentare in der Zeitachse der Warnungen einsehen. Du kannst auch mithilfe der Secret scanning-API einen Kommentar abrufen oder festlegen. Der Kommentar ist im Feld
resolution_comment
enthalten. Weitere Informationen finden Sie in der REST-API-Dokumentation unter Geheime Überprüfung. -
Klicke auf Warnung schließen.
Kompromittierte Geheimnisse sichern
Sobald ein Geheimnis an ein Repository übergeben wurde, solltest du das Geheimnis als kompromittiert betrachten. GitHub empfiehlt die folgenden Aktionen für kompromittierte Geheimnisse:
- Lösche bei einem kompromittierten persönlichen Zugriffstoken für GitHub personal access token das kompromittierte Token, erstelle ein neues Token und aktualisiere alle Dienste, die das alte Token verwenden. Weitere Informationen finden Sie unter Verwalten deiner persönlichen Zugriffstoken.
- Identifizieren alle Aktionen, die durch das kompromittierte Token für die Ressourcen deines Unternehmens ausgeführt wurden. Weitere Informationen finden Sie unter Identifizieren von Überwachungsprotokollereignissen, die von einem Zugriffstoken ausgeführt werden.
- Für alle anderen Geheimnisse überprüfe zuerst, dass das per Commit an GitHub Enterprise Server übergebene Geheimnis gültig ist. Wenn dies der Fall ist, erstelle ein neues Geheimnis, aktualisiere alle Dienste, die das alte Geheimnis verwenden, und lösche dann das alte Geheimnis.
Konfigurieren von Benachrichtigungen für Warnungen zur Geheimnisüberprüfung
Benachrichtigungen unterscheiden sich für inkrementelle Überprüfungen und verlaufsbezogene Überprüfungen.
Inkrementelle Überprüfung
Wenn ein neues Geheimnis erkannt wird, benachrichtigt GitHub Enterprise Server alle Benutzer mit Zugriff auf Sicherheitswarnungen für das Repository entsprechend ihren Benachrichtigungseinstellungen. Zu diesen Benutzer gehören Folgenden:
- Repositoryadministratoren
- Sicherheitsmanager
- Benutzer*innen mit benutzerdefinierten Rollen mit Lese-/Schreibzugriff
- Organisationsbesitzerinnen und Unternehmensbesitzerinnen, wenn sie Administrator*innen von Repositorys sind, in denen Geheimnisse geleakt wurden
Hinweis: Commitautoren, die versehentlich Geheimnisse committet haben, werden unabhängig von ihren Benachrichtigungseinstellungen benachrichtigt.
Du erhältst in folgenden Fällen eine E-Mail-Benachrichtigung:
- Du überwachst das Repository.
- Du hast Benachrichtigungen für „Jede Aktivität“ oder für benutzerdefinierte „Sicherheitswarnungen“ für das Repository aktiviert.
- Du hast in deinen Benachrichtigungseinstellungen unter „Abonnements“ und dann unter „Überwachung“ ausgewählt, dass du Benachrichtigungen per E-Mail erhalten möchtest.
-
Navigiere auf deine GitHub Enterprise Server-Instanz zur Hauptseite des Repositorys.
-
Um mit der Überwachung des Repositorys zu beginnen, wähle Überwachen aus.
-
Klicke im Dropdownmenü auf Jede Aktivität. Um nur Sicherheitswarnungen zu abonnieren, klicke alternativ auf Benutzerdefiniert und dann auf Sicherheitswarnungen.
-
Navigiere zu den Benachrichtigungseinstellungen für dein persönliches Konto. Diese sind unter https://github.com/settings/notifications verfügbar.
-
Wähle auf der Seite mit den Benachrichtigungseinstellungen unter „Abonnements“ und dann unter „Beobachten“ die Dropdownliste Mich benachrichtigen aus.
-
Wähle „E-Mail“ als Benachrichtigungsoption aus, und klicke dann auf Speichern.
Weitere Informationen zum Einrichten der Benachrichtigungseinstellungen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Konfigurieren von Überwachungseinstellungen für ein einzelnes Repository.
Verlaufsbezogene Überprüfungen
Bei verlaufsbezogenen Überprüfungen benachrichtigt GitHub Enterprise Server die folgenden Benutzer*innen:
- Organisationsbesitzerinnen, Unternehmensbesitzerinnen und Sicherheitsmanager – immer dann, wenn eine verlaufsbezogene Überprüfen abgeschlossen ist, auch wenn keine Geheimnisse gefunden werden
- Repositoryadministratorinnen, Sicherheitsmanager und Benutzerinnen mit benutzerdefinierten Rollen mit Lese-/Schreibzugriff – immer dann, wenn bei einer verlaufsbezogenen Überprüfung ein Geheimnis erkannt wird, und entsprechend ihren Benachrichtigungseinstellungen
Commitautoren werden nicht benachrichtigt.
Weitere Informationen zum Einrichten der Benachrichtigungseinstellungen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Konfigurieren von Überwachungseinstellungen für ein einzelnes Repository.
Überwachungsantworten auf Warnungen zur Geheimnisüberprüfung
Du kannst die Aktionen, die als Reaktion auf secret scanning-Warnungen ergriffen wurden, mit GitHub-Tools überprüfen. Weitere Informationen findest du unter Prüfen von Sicherheitswarnungen.