Skip to main content

GitHub AE ist derzeit begrenzt freigegeben.

Konfigurieren der Geheimnisüberprüfung für deine Repositorys

Du kannst konfigurieren, wie GitHub deine Repositorys nach kompromittierten Geheimnissen durchsucht und Warnungen generiert.

Wer kann dieses Feature verwenden?

People with admin permissions to a repository can enable secret scanning for the repository.

Secret scanning ist für organisationseigene Repositorys in GitHub AE verfügbar. Dies ist ein GitHub Advanced Security-Feature (kostenlos während der Betaphase).

Aktivieren von Geheimnisüberprüfung

Du kannst Geheimnisüberprüfung für jedes Repository aktivieren, das sich im Besitz einer Organisation. Nach der Aktivierung secret scanning sucht in Ihrem gesamten Git-Verlauf auf allen Branches, die in Ihrem GitHub-Repository vorhanden sind, nach Geheimnissen.

Du kannst secret scanning auch für mehrere Repositorys in einer Organisation gleichzeitig aktivieren. Weitere Informationen findest du unter Schützen deiner Organisation.

  1. Navigiere auf dein Unternehmen zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus. Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Wenn Advanced Security für dein Repository noch nicht aktiviert ist, klicke rechts neben „GitHub Advanced Security“ auf Aktivieren.

  5. Überprüfe die Auswirkungen der Aktivierung von Advanced Security, und klicke dann auf GitHub Advanced Security für dieses Repository aktivieren.

  6. Wenn du Advanced Security aktivierst, wird secret scanning aufgrund der Einstellungen der Organisation möglicherweise automatisch für das Repository aktiviert. Wenn „Secret scanning“ mit der Schaltfläche Aktivieren angezeigt wird, musst du secret scanning dennoch durch das Klicken von Aktivieren aktivieren. Wenn die Schaltfläche Deaktivieren angezeigt wird, ist secret scanning bereits aktiviert.

    Screenshot des Abschnitts „Secret scanning“ auf der Seite „Codesicherheit und -analyse“, mit dunkelorange umrandeter Schaltfläche „Aktivieren“.

  7. Wenn du außerdem den Pushschutz aktivieren möchtest, kannst du rechts neben „Pushschutz“ auf Aktivieren klicken. Wenn Sie den Pushschutz für Ihre Organisation oder Ihr Repository aktivieren, prüft secret scanning auch Pushnachrichten auf Geheimnisse mit hoher Vertrauenswürdigkeit (solche, die mit einer geringen False-Positive-Rate identifiziert wurden). Secret scanning listet alle erkannten Geheimnisse auf, sodass der Autor die Geheimnisse überprüfen und entfernen oder, falls erforderlich, die Weitergabe dieser Geheimnisse per Push erlauben kann. Weitere Informationen findest du unter Pushschutz für Repositorys und Organisationen. Screenshot des Abschnitts Secret scanning. Neben einem eingerückten Element mit der Bezeichnung „Pushschutz“ ist die Schaltfläche „Aktivieren“ dunkelorange umrandet.

  8. Bevor du secret scanning aktivieren kannst, musst du GitHub Advanced Security aktivieren. Klicke rechts neben „GitHub Advanced Security“ auf Aktivieren. Aktivieren von GitHub Advanced Security für dein Repository

  9. Klicke auf GitHub Advanced Security für dieses Repository aktivieren, um die Aktion zu bestätigen. Bestätigen der Aktivierung von GitHub Advanced Security für dein Repository

  10. Klicke rechts neben „Secret scanning“ auf Aktivieren. Aktivieren von secret scanning für dein Repository

Ausschließen von Verzeichnissen aus Geheimnisüberprüfung

Du kannst eine Datei secret_scanning.yml konfigurieren, um Verzeichnisse von der secret scanning auszuschließen, auch wenn du den Pushschutz verwendest. Beispielsweise kannst du Verzeichnisse ausschließen, welche Tests oder zufällig generierte Inhalte enthalten.

  1. Navigiere auf dein Unternehmen zur Hauptseite des Repositorys.

  2. Klicke oberhalb der Dateiliste im Dropdownmenü Datei hinzufügen auf Neue Datei erstellen.

  3. Gib im Dateinamenfeld .github/secret_scanning.yml ein.

  4. Gib unter Neue Datei bearbeiten paths-ignore: gefolgt von den Pfaden ein, die du aus secret scanning ausschließen möchtest.

    paths-ignore:
      - "foo/bar/*.js"
    

    Du kannst Sonderzeichen verwenden, z. B. * zum Filtern von Pfaden. Weitere Informationen zu Filtermustern findest du unter Workflowsyntax für GitHub Actions.

    Hinweise:

    • Wenn mehr als 1.000 Einträge in paths-ignore vorhanden sind, schließt secret scanning nur die ersten 1.000 Verzeichnisse von der Überprüfung aus.
    • Wenn secret_scanning.yml größer als 1 MB ist, ignoriert secret scanning die gesamte Datei.

Du kannst auch einzelne Warnungen von secret scanning ignorieren. Weitere Informationen findest du unter Verwalten von Warnungen aus der Geheimnisüberprüfung.

Weitere Informationsquellen