Informationen zu Warnungen zur Geheimnisüberprüfung

Erfahren Sie mehr über die verschiedenen Typen von Warnungen zur Geheimnisüberprüfung.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

Secret scanning ist für die folgenden Repositorytypen verfügbar:

  •         **Öffentliche Repositorys**: Secret scanning werden automatisch kostenlos ausgeführt.

  •         **Organisationseigene private und interne Repositories**: Verfügbar mit [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) aktiviert in GitHub Team oder GitHub Enterprise Cloud.

  •         **Benutzereigene Repositories**: Verfügbar auf GitHub Enterprise Cloud mit Enterprise Managed Users. Verfügbar auf GitHub Enterprise Server, wenn das Unternehmen [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) aktiviert hat.

In diesem Artikel

Informationen zu Warnungstypen

Es gibt drei Arten von Warnungen zur Geheimnisüberprüfung:

  • Benutzerwarnungen: Werden den Benutzern auf der Registerkarte Sicherheit des Repositorys gemeldet, wenn im Repository ein unterstütztes Geheimnis erkannt wird.
  • Pushschutzwarnungen: Werden den Benutzern auf der Registerkarte Sicherheit des Repositorys gemeldet, wenn ein Mitwirkender den Pushschutz umgeht.
  • Partnerwarnungen: Werden direkt den Authentifizierungskomponenten gemeldet, die Teil des Partnerprogramms von secret scanning sind. Diese Warnungen werden nicht auf der Registerkarte Sicherheit des Repositorys gemeldet.

Über Benutzerwarnungen

Wenn du secret scanning für ein Repository aktivierst oder Commits in ein Repository pushst, wobei secret scanning aktiviert ist, überprüft GitHub den Inhalt auf Geheimnisse, die mit von Dienstanbietern definierten Mustern übereinstimmen.

Wenn secret scanning ein Geheimnis erkennt, generiert GitHub eine Warnung. GitHub zeigt eine Warnung auf der Registerkarte Sicherheit des Repositorys an.

Um Warnungen effektiver zu triagen, trennt GitHub Warnungen in zwei Listen:

  •         **Standardwarnungen** 

  •         **Generische** Warnungen

Standardbenachrichtigungsliste

Die Liste über Standardwarnungen zeigt Warnungen an, die sich auf unterstützte Muster und angegebene benutzerdefinierte Muster beziehen. Dies ist die Hauptansicht für Warnungen.

Liste generischer Warnungen

Die Liste generischer Warnungen zeigt Warnungen an, die mit Nichtanbietermustern (z. B. private Schlüssel) oder generischen Geheimnissen (z. B. Kennwörter), die durch KI ermittelt wurden, in Verbindung stehen. Diese Arten von Warnungen können eine höhere Rate falsch positiver Ergebnisse oder verwendete Geheimnisse in Tests. Du kannst die Liste generischer Warnungen über die Liste mit Standardwarnungen umschalten.

GitHub wird weiterhin neue Muster und Geheimnistypen in die generic Warnliste aufnehmen und sie in die Standardliste aufnehmen, sobald sie vollständig implementiert sind (d. h. wenn sie ein angemessen niedriges Volumen und eine niedrige Falsch-Positiv-Rate aufweisen).

Darüber hinaus Warnungen, die in diese Kategorie fallen:

  • Sind in der Menge auf 5000 Warnungen pro Repository begrenzt (dies umfasst offene und geschlossene Warnungen).
  • Werden nicht in den Zusammenfassungsansichten für die Sicherheitsübersicht angezeigt, sondern nur in der Ansicht „Secret scanning“.
  • Es werden nur die ersten fünf erkannten Speicherorte für GitHub für Nichtanbietermuster angezeigt, und nur der erste erkannte Speicherort, der für KI-erkannte generische Geheimnisse angezeigt wird.

Damit GitHub nach Nicht-Anbietermustern und generische Geheimschlüssel suchen, müssen Sie zuerst die Features für Ihr Repository oder Ihre Organisation aktivieren. Weitere Informationen finden Sie unter Aktivieren der Geheimnisüberprüfung für Nicht-Anbietermuster und Aktivieren der generischen Geheimniserkennung der Copilot Geheimnisüberprüfung.

Wenn der Zugriff auf eine Ressource gekoppelte Anmeldeinformationen erfordert, löst die Überprüfung des Geheimnisses nur dann eine Warnung aus, wenn beide Teile der Kopplung in derselben Datei erkannt werden. So wird sichergestellt, dass die wichtigsten Lecks nicht hinter Informationen über partielle Lecks versteckt bleiben. Der Paarabgleich hilft auch dabei, falsch positive Ergebnisse zu reduzieren, da beide Elemente eines Paares zusammen verwendet werden müssen, um auf die Ressource des Anbieters zuzugreifen.

Informationen zu Pushschutzwarnungen

Push-Schutz überprüft Push-Scans auf unterstützte geheime Schlüssel. Wenn der Push-Schutz einen unterstützten geheimen Schlüssel erkennt, wird der Push blockiert. Wenn ein Mitwirkender den Push-Schutz umgeht, um einen geheimen Schlüssel an das Repository zu übertragen, wird eine Push-Schutzwarnung generiert und auf der Registerkarte Sicherheit des Repositorys angezeigt. Um alle Push-Schutzwarnungen für ein Repository anzuzeigen, müssen Sie nach bypassed: true auf der Warnungsseite filtern. Weitere Informationen finden Sie unter Anzeigen und Filtern von Warnungen aus der Secrets-Überprüfung.

Wenn der Zugriff auf eine Ressource gekoppelte Anmeldeinformationen erfordert, löst die Überprüfung des Geheimnisses nur dann eine Warnung aus, wenn beide Teile der Kopplung in derselben Datei erkannt werden. So wird sichergestellt, dass die wichtigsten Lecks nicht hinter Informationen über partielle Lecks versteckt bleiben. Der Paarabgleich hilft auch dabei, falsch positive Ergebnisse zu reduzieren, da beide Elemente eines Paares zusammen verwendet werden müssen, um auf die Ressource des Anbieters zuzugreifen.

Hinweis

Sie können auch den Push-Schutz für Ihre persönliches Konto aktivieren, der als „Push-Schutz für Benutzer“ bezeichnet wird, wodurch verhindert wird, dass Sie versehentlich unterstützte geheime Schlüssel an irgendein öffentliches Repository übertragen. Warnungen werden nicht erstellt, wenn Sie den benutzerbasierten Push-Schutz nur umgehen möchten. Warnungen werden nur erstellt, wenn das Repository selbst Push-Schutz aktiviert hat. Weitere Informationen findest du unter Verwalten des Pushschutzes für Benutzer.

Ältere Versionen bestimmter Token werden möglicherweise nicht vom Pushschutz unterstützt, da diese Token mehr falsch positive Ergebnisse generieren könnten als die neueste Version. Der Pushschutz gilt möglicherweise auch nicht für Legacytoken. Für Token wie Azure Storage-Schlüssel unterstützt GitHub nur kürzlich erstellte Token, also keine Token, die den Legacymustern entsprechen. Weitere Informationen zu Einschränkungen beim Pushschutz finden Sie unter Erkennungsbereich für Secret-Scanning.

Informationen zu Partnerwarnungen

Wenn GitHub einen geheimen Schlüssel in einem öffentliches Repository- oder npm-Paket erkennt, wird eine Warnung direkt an den Anbieter des geheimen Schlüssel gesendet, wenn sie Teil des Scanpartnerprogramms für geheime Schlüssel von GitHub sind. Weitere Informationen zu Warnungen zur Geheimnisüberprüfung für Partner finden Sie unter Partnerprogramm für die Geheimnisüberprüfung und Unterstützte Scanmuster für Secrets.

Partnerwarnungen werden nicht an Repository-Administratoren gesendet, daher müssen Sie keine Maßnahmen für diese Art von Warnung ergreifen.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/reference/secret-security/supported-secret-scanning-patterns)

  •         [AUTOTITLE](/code-security/how-tos/secure-your-secrets/detect-secret-leaks/enabling-secret-scanning-for-non-provider-patterns)