Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.
GitHub AE is currently under limited release.

Informationen zur Geheimnisüberprüfung

GitHub AE überprüft Repositorys auf bekannte Geheimnistypen, um das betrügerische Verwenden von Geheimnissen zu verhindern, die aus Versehen committet wurden.

Secret scanning ist für organisationseigene Repositorys in GitHub AE verfügbar. Dies ist ein GitHub Advanced Security-Feature (kostenlos während der Betaphase).

Informationen zu secret scanning

Wenn dein Projekt mit einem externen Dienst kommuniziert, verwende allenfalls ein Token oder einen privaten Schlüssel für die Authentifizierung. Token und private Schlüssel sind Beispiele für Geheimnisse, die ein Dienstanbieter ausstellen kann. Wenn du ein Geheimnis in ein Repository einfügst, kann jedermann mit Lesezugriff auf das Repository das Geheimnis verwenden, um mit deinen Privilegien auf den externen Dienst zuzugreifen. Wir empfehlen, dass du Geheimnisse an einem dedizierten, sicheren Ort außerhalb deines Projekt-Repositorys speicherst.

Secret scanning überprüft den gesamten Git-Verlauf aller Branches in deinem GitHub-Repository auf Geheimnisse.

Dienstleister können mit GitHub zusammenarbeiten, um ihre geheimen Formate zum Durchsuchen bereitzustellen. Informationen zu unserem Partnerprogramm findest du unter Secret scanning-Partnerprogramm in der GitHub Enterprise Cloud-Dokumentation.

Informationen zu secret scanning in GitHub AE

Secret scanning steht im Rahmen von GitHub Advanced Security für alle organisationsinternen Repositorys zur Verfügung. Das Feature steht nicht für Repositorys im Besitz von Benutzern zur Verfügung. Wenn du die secret scanning für ein Repository aktivierst, überprüft GitHub den Code auf Übereinstimmungen mit Geheimnissen, die von vielen Dienstanbietern verwendet werden. Wenn ein unterstütztes Geheimnis geleakt wurde, erzeugt GitHub AE eine secret scanning-Warnung. Weitere Informationen findest du unter Secret scanning patterns.

Als Repositoryadministrator kannst du secret scanning für ein beliebiges Repository. Organisationsbesitzer können secret scanning auch für alle Repositorys oder für alle neuen Repositorys innerhalb einer Organisation aktivieren. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository oder Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.

Du kannst außerdem benutzerdefinierte Muster für die secret scanning für ein Repository, eine Organisation oder ein Unternehmen definieren. Weitere Informationen findest du unter Definieren von benutzerdefinierten Mustern für secret scanning.

Zugreifen auf secret scanning alerts

Wenn du secret scanning für ein Repository aktivierst oder Commits in ein Repository pushst, wobei secret scanning aktiviert ist, überprüft GitHub den Inhalt dieser Commits auf Geheimnisse, die mit den von den Dienstanbietern definierten Mustern übereinstimmen und allen benutzerdefinierten Mustern, die in deinem Unternehmen, deiner Organisation oder deinem Repository definiert sind.

Wenn secret scanning ein Geheimnis erkennt, generiert GitHub eine Warnung.

  • GitHub sendet E-Mail-Warnungen zu den Repository-Administratoren und den Organisations-Inhabern. Es wird eine Warnung ausgegeben, wenn du das Repository ansiehst und wenn du Benachrichtigungen entweder für Sicherheitswarnungen oder für die gesamte Aktivität im Repository aktiviert hast.
  • Wenn der/die Mitwirkende, der oder die das Geheimnis committet hat, das Repository nicht ignoriert, sendet GitHub ebenfalls eine E-Mail-Warnung an den/die Mitwirkende*n. Die E-Mails enthalten einen Link zur entsprechenden secret scanning-Warnung. Der Commitautor kann die Warnung dann im Repository anzeigen und die Warnung auflösen.
  • GitHub zeigt eine Warnung auf der Registerkarte Sicherheit des Repositorys an.

Weitere Informationen zum Anzeigen und Auflösen von secret scanning alerts findest du unter Verwalten von Warnungen aus der secret scanning.

Repositoryadministratoren und Organisationsbesitzer können Benutzern und Teams Zugriff auf secret scanning alerts gewähren. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.

Du kannst auch die REST-API verwenden, um die Ergebnisse der secret scanning in deinen Repositorys zu überwachen. Weitere Informationen zu API-Endpunkten findest du unterSecret scanning.

Weitere Informationsquellen