Problembehandlung bei der Geheimnisüberprüfung

Wenn du Probleme mit der secret scanning hast, kannst du diese Tipps befolgen, um sie zu beheben.

Wer kann dieses Feature verwenden?

Secret scanning alerts for partners runs automatically on public repositories and public npm packages to notify service providers about leaked secrets on GitHub.com.

Secret scanning alerts for users are available for user-owned public repositories for free. Organizations using GitHub Enterprise Cloud with a license for GitHub Advanced Security can also enable secret scanning alerts for users on their private and internal repositories. Additionally, secret scanning alerts for users are available and in beta on user-owned repositories for GitHub Enterprise Cloud with Enterprise Managed Users. For more information, see "About secret scanning" and "About GitHub Advanced Security."

For information about how you can try GitHub Advanced Security for free, see "Setting up a trial of GitHub Advanced Security."

In diesem Artikel

Erkennung von Musterpaaren

Secret scanning erkennt Musterpaare wie AWS-Zugriffsschlüssel und -Geheimnisse nur, wenn die ID und das Geheimnis in derselben Datei gefunden werden und beide in das Repository gepusht werden. Der Paarabgleich hilft dabei, falsch positive Ergebnisse zu reduzieren, da beide Elemente eines Paares (die ID und das Geheimnis) zusammen verwendet werden müssen, um auf die Ressource des Anbieters zuzugreifen.

Paare, die in verschiedene Dateien oder nicht in dasselbe Repository gepusht werden, führen nicht zu Warnungen. Weitere Informationen zu den unterstützten Musterpaaren findest du in der Tabelle unter Geheimnisüberprüfungsmuster.

Informationen zu GitHub-Legacytoken

Bei GitHub-Token überprüfen wir die Gültigkeit des Geheimnisses, um zu ermitteln, ob es aktiv oder inaktiv ist. Das bedeutet, dass secret scanning bei Legacytoken kein personal access token von GitHub Enterprise Server in GitHub Enterprise Cloud erkennt. Ebenso wird ein personal access token von GitHub Enterprise Cloud nicht in GitHub Enterprise Server gefunden.

Pushschutzbeschränkungen

Wenn der Pushschutz ein Geheimnis nicht erkannt hat, das deiner Meinung nach erkannt werden sollte, solltest du zuerst überprüfen, ob der Pushschutz den Geheimnistyp in der Liste der unterstützten Geheimnisse enthält. Weitere Informationen findest du unter Geheimnisüberprüfungsmuster.

Wenn dein Geheimnis in der Liste enthalten ist, kann es verschiedene Gründe geben, warum der Pushschutz es nicht erkennt.

  • Der Pushschutz blockiert durchgesickerte Geheimnisse nur für eine Teilmenge der bekanntesten Benutzerwarnungsmuster. Mitwirkende können sicherheitsrelevanten Schutzmechanismen vertrauen, wenn solche Geheimnisse blockiert werden, da es sich um die Muster handelt, die die niedrigste Anzahl falsch positiver Ergebnisse aufweisen.
  • Die Version deines Geheimnisses ist möglicherweise veraltet. Ältere Versionen bestimmter Token werden möglicherweise nicht vom Pushschutz unterstützt, da diese Token mehr falsch positive Ergebnisse generieren könnten als die neueste Version. Der Pushschutz gilt möglicherweise auch nicht für Legacytoken. Für Token wie Azure Storage-Schlüssel unterstützt GitHub nur kürzlich erstellte Token, also keine Token, die den Legacymustern entsprechen.
  • Der Push kann beispielsweise zu groß sein, wenn du versuchst, Tausende von großen Dateien zu pushen. Wenn der Push zu groß ist, kann beim Pushschutzscan ein Timeout auftreten, wodurch eine Benutzerin nicht blockiert wird. GitHub überprüft und erstellt bei Bedarf auch nach dem Push Warnungen.
  • Wenn der Push zur Erkennung von mehr als fünf neuen Geheimnissen führt, werden maximal die ersten fünf angezeigt.
  • Wenn ein Push mehr als 1.000 bekannte Geheimnisse enthält (d. h. Geheimnisse, für die bereits Warnungen erstellt wurden), blockiert der Pushschutz den Push nicht.