Skip to main content

Diese Version von GitHub Enterprise Server wurde eingestellt am 2024-07-09. Es wird keine Patch-Freigabe vorgenommen, auch nicht für kritische Sicherheitsprobleme. Für bessere Leistung, verbesserte Sicherheit und neue Features aktualisiere auf die neueste Version von GitHub Enterprise Server. Wende dich an den GitHub Enterprise-Support, um Hilfe zum Upgrade zu erhalten.

Problembehandlung bei der Geheimnisüberprüfung

Wenn du Probleme mit der secret scanning hast, kannst du diese Tipps befolgen, um sie zu beheben.

Wer kann dieses Feature verwenden?

Secret scanning ist für unternehmenseigene Repositories in GitHub Enterprise Server verfügbar, wenn Ihr Unternehmen eine Lizenz für GitHub Advanced Security besitzt. Weitere Informationen findest du unter Informationen zur Geheimnisüberprüfung und Informationen zu GitHub Advanced Security.

Hinweis: Dein Websiteadministrator muss secret scanning für Ihre GitHub Enterprise Server-Instance aktivieren, damit du dieses Feature verwenden kannst. Weitere Informationen findest du unter Konfigurieren der Geheimnisüberprüfung für deine Appliance.

Möglicherweise kannst du secret scanning nicht aktivieren oder deaktivieren, wenn ein Unternehmensbesitzer eine Richtlinie auf Unternehmensebene festgelegt hat. Weitere Informationen findest du unter Erzwingen von Richtlinien für die Codesicherheit und -analyse für Unternehmen.

Erkennung von Musterpaaren

Secret scanning erkennt Musterpaare wie AWS-Zugriffsschlüssel und -Geheimnisse nur, wenn die ID und das Geheimnis in derselben Datei gefunden werden und beide in das Repository gepusht werden. Der Paarabgleich hilft dabei, falsch positive Ergebnisse zu reduzieren, da beide Elemente eines Paares (die ID und das Geheimnis) zusammen verwendet werden müssen, um auf die Ressource des Anbieters zuzugreifen.

Paare, die in verschiedene Dateien oder nicht in dasselbe Repository gepusht werden, führen nicht zu Warnungen. Weitere Informationen zu den unterstützten Musterpaaren findest du in der Tabelle unter Geheimnisüberprüfungsmuster.

Informationen zu GitHub-Legacytoken

Bei GitHub-Token überprüfen wir die Gültigkeit des Geheimnisses, um zu ermitteln, ob es aktiv oder inaktiv ist. Das bedeutet, dass secret scanning bei Legacytoken kein personal access token von GitHub Enterprise Server in GitHub Enterprise Cloud erkennt. Ebenso wird ein personal access token von GitHub Enterprise Cloud nicht in GitHub Enterprise Server gefunden.

Pushschutzbeschränkungen

Wenn der Pushschutz ein Geheimnis nicht erkannt hat, das deiner Meinung nach erkannt werden sollte, solltest du zuerst überprüfen, ob der Pushschutz den Geheimnistyp in der Liste der unterstützten Geheimnisse enthält. Weitere Informationen findest du unter Geheimnisüberprüfungsmuster.

Wenn dein Geheimnis in der Liste enthalten ist, kann es verschiedene Gründe geben, warum der Pushschutz es nicht erkennt.

  • Der Pushschutz blockiert durchgesickerte Geheimnisse nur für eine Teilmenge der bekanntesten Benutzerwarnungsmuster. Mitwirkende können sicherheitsrelevanten Schutzmechanismen vertrauen, wenn solche Geheimnisse blockiert werden, da es sich um die Muster handelt, die die niedrigste Anzahl falsch positiver Ergebnisse aufweisen.
  • Die Version deines Geheimnisses ist möglicherweise veraltet. Ältere Versionen bestimmter Token werden möglicherweise nicht vom Pushschutz unterstützt, da diese Token mehr falsch positive Ergebnisse generieren könnten als die neueste Version. Der Pushschutz gilt möglicherweise auch nicht für Legacytoken. Für Token wie Azure Storage-Schlüssel unterstützt GitHub nur kürzlich erstellte Token, also keine Token, die den Legacymustern entsprechen.
  • Der Push kann beispielsweise zu groß sein, wenn du versuchst, Tausende von großen Dateien zu pushen. Wenn der Push zu groß ist, kann beim Pushschutzscan ein Timeout auftreten, wodurch eine Benutzerin nicht blockiert wird. GitHub überprüft und erstellt bei Bedarf auch nach dem Push Warnungen.
  • Wenn der Push zur Erkennung von mehr als fünf neuen Geheimnissen führt, werden maximal die ersten fünf angezeigt.
  • Wenn ein Push mehr als 1.000 bekannte Geheimnisse enthält (d. h. Geheimnisse, für die bereits Warnungen erstellt wurden), blockiert der Pushschutz den Push nicht.