Informationen zu secret scanning-Mustern
GitHub Enterprise Cloud verfügt über diese Arten von secret scanning-Standardmustern:
-
Partnermuster: Diese Muster werden verwendet, um potenzielle Geheimnisse in allen öffentlichen Repositorys sowie öffentlichen npm-Paketen zu erkennen. Informationen zu unserem Partnerprogramm findest du unter Partnerprogramm für die Geheimnisüberprüfung.
-
Benutzerwarnungsmuster. Dienen zum Ermitteln potenzieller Geheimnisse in Repositorys mit aktivierten Warnungen zur Geheimnisüberprüfung für Benutzer*innen.
-
Pushschutzmuster: Diese Muster werden verwendet, um potenzielle Geheimnisse in Repositorys mit dem zum Pushschutz aktivierten Feature „secret scanning“ zu erkennen.
Ausführliche Informationen zu allen unterstützten Mustern findest du weiter unten im Abschnitt Unterstützte Geheimnisse.
Wenn du der Meinung bist, dass secret scanning ein Geheimnis erkannt haben sollte, das in dein Repository committet wurde, aber dieses nicht erkannt wurde, musst du zuerst überprüfen, ob GitHub dein Geheimnis unterstützt. Weitere Informationen findest du in den folgenden Abschnitten. Fortgeschrittenere Informationen zur Problembehandlung findest du unter Problembehandlung bei der Geheimnisüberprüfung.
Informationen zu Partnerwarnungen
Partnerwarnungen sind Warnungen, die an die Geheimnisanbieter gesendet werden, wenn ein Geheimnisleck für eines ihrer Geheimnisse gemeldet wird. GitHub Enterprise Cloud überprüft derzeit öffentliche Repositorys und öffentliche npm-Pakete auf Geheimnisse, die von den jeweiligen Dienstanbietern ausgegeben wurden, und benachrichtigt den entsprechenden Dienstanbieter, wenn ein Geheimnis in einem Commit erkannt wird. Weitere Informationen zu Warnungen zur Geheimnisüberprüfung für Partner findest du unter Informationen zur Geheimnisüberprüfung.
Wenn der Zugriff auf eine Ressource gekoppelte Anmeldeinformationen erfordert, löst die Überprüfung des Geheimnisses nur dann eine Warnung aus, wenn beide Teile der Kopplung in derselben Datei erkannt werden. So wird sichergestellt, dass die wichtigsten Lecks nicht hinter Informationen über partielle Lecks versteckt bleiben. Der Paarabgleich hilft auch dabei, falsch positive Ergebnisse zu reduzieren, da beide Elemente eines Paares zusammen verwendet werden müssen, um auf die Ressource des Anbieters zuzugreifen.
Informationen zu Benutzerwarnungen Warnungen
Benutzerwarnungen sind Warnungen, die Benutzerinnen auf GitHub angezeigt werden. Wenn Warnungen zur Geheimnisüberprüfung für Benutzerinnen aktiviert sind, durchsucht GitHub-Repositorys nach Geheimnissen, die von vielen verschiedenen Dienstanbietern ausgegeben wurden, und generiert Warnungen zur Geheimnisüberprüfung.
User -Warnungen können die folgenden Typen aufweisen:
- Warnungen mit hoher Vertrauenswürdigkeit, die sich auf unterstützte Muster und angegebene benutzerdefinierte Muster beziehen.
- Nicht-Anbieter-Warnungen, die einen höheren Anteil an Fehlalarmen aufweisen und Geheimnisse wie private Schlüssel betreffen.
GitHub zeigt Warnungen von Nicht-Anbietern in einer anderen Liste an als Warnungen mit hoher Vertrauenswürdigkeit, was die Triagierung für die Benutzer verbessert. Weitere Informationen findest du unter Verwalten von Warnungen aus der Geheimnisüberprüfung.
Hinweis: Die Erkennung von Nicht-Anbietermustern befindet sich derzeit in der Betaversion und kann geändert werden.
Du kannst diese Warnungen auf der Registerkarte Sicherheit des Repositorys einsehen. Weitere Informationen zu Warnungen zur Geheimnisüberprüfung für Benutzer*innen findest du unter Informationen zur Geheimnisüberprüfung.
Wenn der Zugriff auf eine Ressource gekoppelte Anmeldeinformationen erfordert, löst die Überprüfung des Geheimnisses nur dann eine Warnung aus, wenn beide Teile der Kopplung in derselben Datei erkannt werden. So wird sichergestellt, dass die wichtigsten Lecks nicht hinter Informationen über partielle Lecks versteckt bleiben. Der Paarabgleich hilft auch dabei, falsch positive Ergebnisse zu reduzieren, da beide Elemente eines Paares zusammen verwendet werden müssen, um auf die Ressource des Anbieters zuzugreifen.
Wenn du die REST-API für die Geheimnisüberprüfung verwendest, kannst du den Geheimnistyp (Secret type) verwenden, um Berichte für Geheimnisse von bestimmten Ausstellern zu erstellen. Weitere Informationen findest du unter REST-API-Endpunkte für die Geheimnisüberprüfung.
Hinweis: Du kannst außerdem benutzerdefinierte secret scanning-Muster für dein Repository, deine Organisation oder dein Unternehmen definieren. Weitere Informationen findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.
Informationen zu Pushschutzwarnungen
Pushschutzwarnungen sind Benutzerwarnungen, die vom Pushschutz gemeldet werden. Secret scanning überprüft als Pushschutz derzeit Repositorys auf Geheimnisse, die von den einigen Dienstanbietern ausgestellt wurden.
Pushschutzwarnungen werden nicht für geheime Schlüssel erstellt, die nur mit benutzerbasiertem Pushschutz umgangen werden. Weitere Informationen finden Sie unter Pushschutz für Benutzer.
Wenn der Zugriff auf eine Ressource gekoppelte Anmeldeinformationen erfordert, löst die Überprüfung des Geheimnisses nur dann eine Warnung aus, wenn beide Teile der Kopplung in derselben Datei erkannt werden. So wird sichergestellt, dass die wichtigsten Lecks nicht hinter Informationen über partielle Lecks versteckt bleiben. Der Paarabgleich hilft auch dabei, falsch positive Ergebnisse zu reduzieren, da beide Elemente eines Paares zusammen verwendet werden müssen, um auf die Ressource des Anbieters zuzugreifen.
Ältere Versionen bestimmter Token werden möglicherweise nicht vom Pushschutz unterstützt, da diese Token mehr falsch positive Ergebnisse generieren könnten als die neueste Version. Der Pushschutz gilt möglicherweise auch nicht für Legacytoken. Für Token wie Azure Storage-Schlüssel unterstützt GitHub nur kürzlich erstellte Token, also keine Token, die den Legacymustern entsprechen. Weitere Informationen zu Einschränkungen beim Pushschutz findest du unter Problembehandlung bei der Geheimnisüberprüfung.
Unterstützte Geheimnisse
In dieser Tabelle sind die von der secret scanning unterstützten Geheimnisse aufgeführt. Du kannst sehen, welche Warnungstypen für jedes Token generiert werden, und ob eine Gültigkeitsprüfung für das Token durchgeführt wird.
-
Anbieter: Name des Tokenanbieters
-
Partner: Das ist das Token, für das dem relevanten Tokenpartner Lecks gemeldet werden. Es gilt nur für öffentliche Repositorys.
-
Benutzer: Das ist das Token, für das Benutzer*innen auf GitHub. Lecks gemeldet werden.
- Gilt für öffentliche und private Repositorys, bei denen GitHub Advanced Security, secret scanning ist.
- Enthält Token mit hoher Vertrauenswürdigkeit, die sich auf unterstützte Muster und angegebene benutzerdefinierte Muster beziehen, sowie Nicht-Anbietertoken wie private Schlüssel, die in der Regel ein höheres Verhältnis falsch positiver Ergebnisse aufweisen.
- Damit secret scanning nach Nicht-Anbietermustern suchen kann, muss die Erkennung von Nicht-Anbietermustern für das Repository oder die Organisation aktiviert sein. Weitere Informationen findest du unter Konfigurieren der Geheimnisüberprüfung für deine Repositorys.
Hinweis: Die Erkennung von Nicht-Anbietermustern befindet sich derzeit in der Betaversion und kann geändert werden.
aktiviert haben.
-
Pushschutz: Das ist das Token, für das Benutzer*innen auf GitHub Lecks gemeldet werden. Gilt für Repositorys mit secret scanning und aktiviertem Pushschutz.
Hinweis: Ältere Versionen bestimmter Token werden möglicherweise nicht vom Pushschutz unterstützt, da diese Token mehr falsch positive Ergebnisse generieren könnten als die neueste Version. Der Pushschutz gilt möglicherweise auch nicht für Legacytoken. Für Token wie Azure Storage-Schlüssel unterstützt GitHub nur kürzlich erstellte Token, also keine Token, die den Legacymustern entsprechen. Weitere Informationen zu Einschränkungen beim Pushschutz findest du unter „Problembehandlung bei der Geheimnisüberprüfung“.
-
Gültigkeitsüberprüfung: Das ist das Token, für das eine Gültigkeitsüberprüfung implementiert wird. Für Partnertoken sendet GitHub das Token an den relevanten Partner. Nicht alle Partner sind in den USA ansässig. Weitere Informationen finden Sie unter „Advanced Security“ in der Websiterichtliniendokumentation.
Nicht-Anbietermuster
Hinweis: Die Erkennung von Nicht-Anbietermustern befindet sich derzeit in der Betaversion und kann geändert werden.
| Anbieter | Token |
|---|---|
| generisch | http_basic_authentication_header |
| generisch | http_bearer_authentication_header |
| generisch | mongodb_connection_string |
| generisch | mysql_connection_string |
| generisch | openssh_private_key |
| generisch | pgp_private_key |
| generisch | postgres_connection_string |
| generisch | rsa_private_key |
Pushschutz- und Gültigkeitsprüfungen werden für Nicht-Anbietermuster nicht unterstützt.
Muster mit hoher Konfidenz
| Anbieter | Token | Partner | Benutzer | Pushschutz | Gültigkeitsüberprüfung |
|---|---|---|---|---|---|
| Adafruit IO | adafruit_io_key | ||||
| Adobe | adobe_client_secret | ||||
| Adobe | adobe_device_token | ||||
| Adobe | adobe_pac_token | ||||
| Adobe | adobe_refresh_token | ||||
| Adobe | adobe_service_token | ||||
| Adobe | adobe_short_lived_access_token | ||||
| Aiven | aiven_auth_token | ||||
| Aiven | aiven_service_password | ||||
| Alibaba Cloud | alibaba_cloud_access_key_id alibaba_cloud_access_key_secret | ||||
| Login with Amazon | amazon_oauth_client_id amazon_oauth_client_secret | ||||
| Amazon Web Services (AWS) | aws_access_key_id aws_secret_access_key | ||||
| Amazon Web Services (AWS) | aws_session_token aws_temporary_access_key_id aws_secret_access_key | ||||
| Anthropic | anthropic_api_key | ||||
| Asana | asana_personal_access_token | ||||
| Atlassian | atlassian_api_token | ||||
| Atlassian | atlassian_jwt | ||||
| Atlassian | bitbucket_server_personal_access_token | ||||
| Authress | authress_service_client_access_key | ||||
| Azure | azure_active_directory_application_secret | ||||
| Azure | azure_batch_key_identifiable | ||||
| Azure | azure_cache_for_redis_access_key | ||||
| Azure | azure_container_registry_key_identifiable | ||||
| Azure | azure_cosmosdb_key_identifiable | ||||
| Azure | azure_devops_personal_access_token | ||||
| Azure | azure_function_key | ||||
| Azure | azure_ml_web_service_classic_identifiable_key | ||||
| Azure | azure_sas_token | ||||
| Azure | azure_search_admin_key | ||||
| Azure | azure_search_query_key | ||||
| Azure | azure_management_certificate | ||||
| Azure | azure_sql_connection_string | ||||
| Azure | azure_sql_password | ||||
| Azure | azure_storage_account_key | ||||
| Baidu | baiducloud_api_accesskey | ||||
| Beamer | beamer_api_key | ||||
| Beijing Volcano Engine Technology | volcengine_access_key_id | ||||
| Canadian Digital Service | cds_canada_notify_api_key | ||||
| Canva | canva_connect_api_secret | ||||
| Cashfree | Cashfree API Key | ||||
| Checkout.com | checkout_production_secret_key | ||||
| Checkout.com | checkout_test_secret_key | ||||
| Chief Tools | chief_tools_token | ||||
| CircleCI | circleci-pat | ||||
| CircleCI | circleci-prj | ||||
| Clojars | clojars_deploy_token | ||||
| CloudBees CodeShip | codeship_credential | ||||
| Contentful | contentful_personal_access_token | ||||
| Contributed Systems | CONTRIBUTED_SYSTEMS_CREDENTIALS | ||||
| crates.io (Rust Foundation) | cratesio_api_token | ||||
| Databricks | databricks_access_token | ||||
| Datadog | DATADOG_API_KEY | ||||
| Defined | defined_networking_nebula_api_key | ||||
| DevCycle | devcycle_client_api_key | ||||
| DevCycle | devcycle_mobile_api_key | ||||
| DevCycle | devcycle_server_api_key | ||||
| DigitalOcean | digitalocean_oauth_token | ||||
| DigitalOcean | digitalocean_personal_access_token | ||||
| DigitalOcean | digitalocean_refresh_token | ||||
| DigitalOcean | digitalocean_system_token | ||||
| Discord | discord_api_token_v2 | ||||
| Discord | discord_bot_token | ||||
| Docker | docker_personal_access_token | ||||
| Doppler | doppler_audit_token | ||||
| Doppler | doppler_cli_token | ||||
| Doppler | doppler_personal_token | ||||
| Doppler | doppler_scim_token | ||||
| Doppler | doppler_service_token | ||||
| Doppler | doppler_service_account_token | ||||
| Dropbox | dropbox_access_token | ||||
| Dropbox | dropbox_short_lived_access_token | ||||
| Duffel | duffel_live_access_token | ||||
| Duffel | duffel_test_access_token | ||||
| Dynatrace | dynatrace_access_token | ||||
| Dynatrace | dynatrace_internal_token | ||||
| EasyPost | easypost_production_api_key | ||||
| EasyPost | easypost_test_api_key | ||||
| eBay | ebay_production_client_id ebay_production_client_secret | ||||
| eBay | ebay_sandbox_client_id ebay_sandbox_client_secret | ||||
| Fastly | fastly_api_token | ||||
| Figma | figma_pat | ||||
| Finicity | finicity_app_key | ||||
| Flutterwave | flutterwave_live_api_secret_key | ||||
| Flutterwave | flutterwave_test_api_secret_key | ||||
| Frame.io | frameio_developer_token | ||||
| Frame.io | frameio_jwt | ||||
| FullStory | fullstory_api_key | ||||
| GitHub | github_app_installation_access_token | ||||
| GitHub | github_oauth_access_token | ||||
| GitHub | github_personal_access_token | ||||
| GitHub | github_refresh_token | ||||
| GitHub | github_ssh_private_key | ||||
| GitLab | gitlab_access_token | ||||
| GoCardless | gocardless_live_access_token | ||||
| GoCardless | gocardless_sandbox_access_token | ||||
| firebase_cloud_messaging_server_key | |||||
| google_cloud_storage_service_account_access_key_id google_cloud_storage_access_key_secret | |||||
| google_cloud_storage_user_access_key_id google_cloud_storage_access_key_secret | |||||
| google_oauth_access_token | |||||
| google_oauth_client_id google_oauth_client_secret | |||||
| google_oauth_refresh_token | |||||
| Google Cloud | google_api_key | ||||
| Google Cloud | google_cloud_service_account_credentials | ||||
| Grafana | grafana_cloud_api_key | ||||
| Grafana | grafana_cloud_api_token | ||||
| Grafana | grafana_project_api_key | ||||
| Grafana | grafana_project_service_account_token | ||||
| HashiCorp | hashicorp_vault_batch_token | ||||
| HashiCorp | hashicorp_vault_root_service_token | ||||
| HashiCorp | hashicorp_vault_service_token | ||||
| Hashicorp Terraform | terraform_api_token | ||||
| Highnote | highnote_rk_live_key | ||||
| Highnote | highnote_rk_test_key | ||||
| Highnote | highnote_sk_live_key | ||||
| Highnote | highnote_sk_test_key | ||||
| Hop | hop_bearer | ||||
| Hop | hop_pat | ||||
| Hop | hop_ptk | ||||
| Hubspot | hubspot_api_key | ||||
| Hubspot | hubspot_api_personal_access_key | ||||
| Intercom | intercom_access_token | ||||
| Ionic | ionic_personal_access_token | ||||
| Ionic | ionic_refresh_token | ||||
| JD Cloud | jd_cloud_access_key | ||||
| JFrog | jfrog_platform_access_token | ||||
| JFrog | jfrog_platform_api_key | ||||
| JFrog | jfrog_platform_reference_token | ||||
| Lightspeed | lightspeed-xs-pat | ||||
| Linear | linear_api_key | ||||
| Linear | linear_oauth_access_token | ||||
| Lob | lob_live_api_key | ||||
| Lob | lob_test_api_key | ||||
| LocalStack | localstack_api_key | ||||
| LogicMonitor | logicmonitor_bearer_token | ||||
| LogicMonitor | logicmonitor_lmv1_access_key | ||||
| Mailchimp | mailchimp_api_key | ||||
| Mailchimp | MANDRILL_API | ||||
| Mailgun | mailgun_api_key | ||||
| Mapbox | mapbox_secret_access_token | ||||
| Maxmind | maxmind_license_key | ||||
| Mercury | mercury_non_production_api_token | ||||
| Mercury | mercury_production_api_token | ||||
| Mergify | mergify_application_key | ||||
| MessageBird | messagebird_api_key | ||||
| Meta | facebook_access_token | ||||
| Midtrans | midtrans_production_server_key | ||||
| Midtrans | midtrans_sandbox_server_key | ||||
| New Relic | new_relic_insights_query_key | ||||
| New Relic | new_relic_license_key | ||||
| New Relic | new_relic_personal_api_key | ||||
| New Relic | new_relic_rest_api_key | ||||
| Notion | notion_integration_token | ||||
| Notion | notion_oauth_client_secret | ||||
| npm | npm_access_token | ||||
| NuGet | nuget_api_key | ||||
| Octopus Deploy | octopus_deploy_api_key | ||||
| Oculus | oculus_very_tiny_encrypted_session | ||||
| OneChronos | onechronos_api_key | ||||
| OneChronos | onechronos_eb_api_key | ||||
| OneChronos | onechronos_eb_encryption_key | ||||
| OneChronos | onechronos_oauth_token | ||||
| OneChronos | onechronos_refresh_token | ||||
| Onfido | onfido_live_api_token | ||||
| Onfido | onfido_sandbox_api_token | ||||
| OpenAI | openai_api_key | ||||
| OpenAI | openai_api_key_v2 | ||||
| Palantir | palantir_jwt | ||||
| Persona | persona_production_api_key | ||||
| Persona | persona_sandbox_api_key | ||||
| pinterest_access_token | |||||
| pinterest_refresh_token | |||||
| PlanetScale | planetscale_database_password | ||||
| PlanetScale | planetscale_oauth_token | ||||
| PlanetScale | planetscale_service_token | ||||
| Plivo | plivo_auth_id plivo_auth_token | ||||
| Postman | postman_api_key | ||||
| Postman | postman_collection_key | ||||
| Prefect | prefect_server_api_key | ||||
| Prefect | prefect_user_api_key | ||||
| Prefect | PREFECT_USER_API_TOKEN | ||||
| Proctorio | proctorio_consumer_key | ||||
| Proctorio | proctorio_linkage_key | ||||
| Proctorio | proctorio_registration_key | ||||
| Proctorio | proctorio_secret_key | ||||
| Pulumi | pulumi_access_token | ||||
| PyPI | pypi_api_token | ||||
| ReadMe | readmeio_api_access_token | ||||
| redirect.pizza | redirect_pizza_api_token | ||||
| Rootly | rootly_api_key | ||||
| RubyGems | rubygems_api_key | ||||
| Samsara | samsara_api_token | ||||
| Samsara | samsara_oauth_access_token | ||||
| Segment | segment_public_api_token | ||||
| SendGrid | sendgrid_api_key | ||||
| Sendinblue | sendinblue_api_key | ||||
| Sendinblue | sendinblue_smtp_key | ||||
| Shippo | shippo_live_api_token | ||||
| Shippo | shippo_test_api_token | ||||
| Shopify | shopify_access_token | ||||
| Shopify | shopify_app_client_credentials | ||||
| Shopify | shopify_app_client_secret | ||||
| Shopify | shopify_app_shared_secret | ||||
| Shopify | shopify_custom_app_access_token | ||||
| Shopify | shopify_marketplace_token | ||||
| Shopify | shopify_merchant_token | ||||
| Shopify | shopify_partner_api_token | ||||
| Shopify | shopify_private_app_password | ||||
| Siemens | code_siemens_com_token | ||||
| Slack | slack_api_token | ||||
| Slack | slack_incoming_webhook_url | ||||
| Slack | slack_workflow_webhook_url | ||||
| Square | square_access_token | ||||
| Square | square_production_application_secret | ||||
| Square | square_sandbox_application_secret | ||||
| SSLMate | sslmate_api_key | ||||
| SSLMate | sslmate_cluster_secret | ||||
| Stripe | stripe_live_restricted_key | ||||
| Stripe | stripe_api_key | ||||
| Stripe | stripe_legacy_api_key | ||||
| Stripe | stripe_test_restricted_key | ||||
| Stripe | stripe_test_secret_key | ||||
| Stripe | stripe_webhook_signing_secret | ||||
| Supabase | supabase_service_key | ||||
| Tableau | tableau_personal_access_token | ||||
| Telegram | telegram_bot_token | ||||
| Telnyx | telnyx_api_v2_key | ||||
| Tencent Cloud | tencent_cloud_secret_id | ||||
| Tencent WeChat | tencent_wechat_api_app_id | ||||
| Twilio | twilio_access_token | ||||
| Twilio | twilio_account_sid | ||||
| Twilio | twilio_api_key | ||||
| Typeform | typeform_personal_access_token | ||||
| Uniwise | wiseflow_api_key | ||||
| WakaTime | wakatime_pp_secret | ||||
| WakaTime | wakatime_oauth_access_token | ||||
| WakaTime | wakatime_oauth_refresh_token | ||||
| Workato | workato_developer_api_token | ||||
| WorkOS | workos_production_api_key | ||||
| WorkOS | workos_staging_api_key | ||||
| Yandex | yandex_iam_access_secret | ||||
| Yandex | yandex_cloud_api_key | ||||
| Yandex | yandex_cloud_iam_cookie | ||||
| Yandex | yandex_cloud_iam_token | ||||
| Yandex | yandex_cloud_smartcaptcha_server_key | ||||
| Yandex | yandex_dictionary_api_key | ||||
| Yandex | YANDEX_PASSPORT_OAUTH_TOKEN | ||||
| Yandex | yandex_predictor_api_key | ||||
| Yandex | yandex_translate_api_key | ||||
| Zuplo | zuplo_consumer_api_key |