Behandeln von Warnungen
Sobald ein Geheimnis an ein Repository übergeben wurde, solltest du das Geheimnis als kompromittiert betrachten. GitHub empfiehlt die folgenden Maßnahmen bei kompromittierten Geheimnissen:
- Vergewissern Sie sich, dass das an GitHub übergebene Geheimnis gültig ist. Gilt nur für GitHub-Tokens. Siehe Überprüfen der Gültigkeit eines Secret und Durchführen einer on-demand Gültigkeitsprüfung.
- Sollten Geheimnisse in privaten Repositories entdeckt werden, melden Sie das durchgesickerte Geheimnis an GitHub, die es wie jedes öffentlich durchgesickerte Geheimnis behandeln und widerrufen werden. Anwendbar nur für aktive oder nicht bestätigte GitHub personal access tokens. Siehe Melden einer geleakten geheimen Information in einem privaten Repository.
- Überprüfen und aktualisieren Sie Dienste, die das alte Token nutzen. Löschen Sie bei GitHub von personal access token das kompromittierte Token, und erstellen Sie ein neues Token. Weitere Informationen findest du unter Verwalten deiner persönlichen Zugriffstoken.
- Je nach Anbieter des geheimen Schlüssels sollten Sie Ihre Sicherheitsprotokolle auf unautorisierte Aktivitäten überprüfen.
Das Melden von einem geleakten Geheimnis in einem privaten Repository
Hinweis
Die Meldung eines privaten Geheimnisses an GitHub ist in öffentliche Vorschau und kann sich ändern. Die Funktion ist derzeit nur für GitHub personal access tokens (v1 und v2) verfügbar.
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Klicken Sie unter dem Repositorynamen auf die Security and quality Registerkarte. Wenn die Registerkarte " Security and quality" nicht angezeigt wird, wählen Sie das Dropdownmenü aus, und klicken Sie dann auf Security and quality.
-
Klicken Sie auf der linken Randleiste unter „Sicherheitsrisikowarnungen“ auf Secret scanning .
-
Klicken Sie in der Warnungsliste auf die Warnung, die Sie anzeigen möchten.
-
Klicken Sie in der Warnungsansicht für das offengelegte Geheimnis auf Offenlegung melden.
Hinweis
Um Arbeitsabläufe nicht zu unterbrechen, sollten Sie das Geheimnis zunächst rotieren lassen, bevor Sie fortfahren, da eine Offenlegung dazu führen könnte, dass das Geheimnis widerrufen wird. Wenn möglich, sollten Sie auch den Token-Inhaber kontaktieren, um ihn über das Datenleck zu informieren und einen Abhilfeplan abzustimmen.
-
Überprüfen Sie die Informationen im Dialogfeld, und klicken Sie dann auf Ich verstehe die Konsequenz, melde dieses Geheimnis.
Schließen von Warnungen
Hinweis
Secret scanning schließt Warnungen nicht automatisch, wenn das entsprechende Token aus dem Repository entfernt wurde. Sie müssen diese Warnungen manuell in der Warnungsliste auf GitHub schließen.
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Klicken Sie unter dem Repositorynamen auf die Security and quality Registerkarte. Wenn die Registerkarte " Security and quality" nicht angezeigt wird, wählen Sie das Dropdownmenü aus, und klicken Sie dann auf Security and quality.
-
Klicken Sie auf der linken Randleiste unter „Sicherheitsrisikowarnungen“ auf Secret scanning .
-
Klicken Sie unter „Secret scanning“ auf die Warnung, die Sie anzeigen möchten.
-
Um eine Warnung zu schließen, wählen Sie das Dropdownmenü „Schließen als“ aus, und klicken Sie auf einen Grund zum Beheben einer Warnung.
-
Fügen Sie optional im Feld „Kommentar“ einen Kommentar zum Schließen der Warnung hinzu. Der Kommentar zum Schließen wird der Zeitleiste der Warnung hinzugefügt und kann bei Prüfungen und Berichterstellungen als Begründung verwendet werden.
-
Klicken Sie auf Warnung schließen.
