Auswahl von GitHub Secret Protection

Erfahre, wie du mit GitHub Secret Protection Geheimnisse in deiner Codebasis ermitteln und mithilfe von Tools zur kontinuierlichen Überwachung und Prävention Lecks verhindern kannst, bevor sie entstehen.

Wer kann dieses Feature verwenden?

GitHub Secret Protection ist eine Reihe von Features innerhalb von GitHub Advanced Security, die den folgenden Benutzenden zur Verfügung stehen:

  • Benutzenden mit GitHub Team-Plan
  • Enterprise-Organisationen mit GitHub Enterprise Cloud und GitHub Enterprise Server

In diesem Artikel

Informationen zu GitHub Secret Protection

Secret Protection enthält die folgenden Features, mit denen du kompromittierte Geheimnisse ermitteln und verhindern kannst und die eine kontinuierliche Überwachung und Erkennung ermöglichen. Ausführliche Informationen zu den Features und ihrer Verfügbarkeit findest du unter GitHub Secret Protection.

  • Secret scanning: Ermitteln von Geheimnissen, z. B. Schlüssel und Token, die in ein Repository eingecheckt wurden und Benachrichtigungen empfangen.

  • Pushschutz: Verhindern von Geheimnislecks durch Blockieren von Commits mit Geheimnissen.

  • Copilot Geheimnisüberprüfung: Nutzen von KI, um unstrukturierte Anmeldeinformationen wie Kennwörter zu erkennen, die in ein Repository eingecheckt wurden.

  • Benutzerdefinierte Muster: Erkennen und Verhindern von Lecks bei organisationsspezifischen Geheimnissen.

  • Delegierte Umgehung für den Pushschutz und Delegiertes Schließen von Warnungen: Implementieren eines Genehmigungsprozesses für eine bessere Kontrolle darüber, wer in deinem Unternehmen vertrauliche Aktionen ausführen kann, und zur umfassenden Unterstützung der Governance.

  • Sicherheitsübersicht: Verstehen der Verteilung von Risiken in deiner Organisation.

Darüber hinaus enthält Secret Protection ein kostenloses Scanfeature für einen Risikobewertungsbericht, mit dem Unternehmen die Ausmaße von Geheimnislecks in ihrem GitHub- Netzwerk nachvollziehen können. Weitere Informationen findest du unter Informationen zur Risikobewertung von Geheimnissen.

Secret Protection wird pro aktivem Committer an die Repositorys abgerechnet, für die es aktiviert ist. Er ist für Benutzende mit einem GitHub Team- oder GitHub Enterprise-Plan verfügbar, siehe Informationen zur Abrechnung für GitHub Advanced Security.

Gründe für die Aktivierung von Secret Protection für sämtliche Repositorys in deiner Organisation

GitHub empfiehlt, GitHub Secret Protection-Produkte für alle Repositorys zu aktivieren. So ist die Organisation vor den Risiken von Geheimnislecks und Offenlegungen geschützt. GitHub Secret Protection kann für öffentliche Repositorys kostenlos aktiviert werden und ist als kostenpflichtiges Add-On für private und interne Repositorys erhältlich.

  • Die kostenlose secret risk assessment scannt nur den Code in deiner Organisation, einschließlich des Codes in archivierten Repositorys. Du kannst die gescannte Oberfläche erweitern, um Inhalte in Pull Requests, Issues, Wikis und GitHub Discussions mit GitHub Secret Protection abzudecken.. Weitere Informationen findest du unter Informationen zur Geheimnisüberprüfung.

  • secret risk assessment und secret scanning scannen Code, der bereits in die Repositorys committet wurde. Mit dem Pushschutz wird dein Code vor dem Speichern von Commits in GitHub und während des Pushvorgangs auf Geheimnisse gescannt. Falls irgendwelche Geheimnisse entdeckt werden, wird der Push blockiert. Weitere Informationen findest du unter Informationen zum Pushschutz.

  • Wenn du über mindestens ein organisationsinternes Geheimmuster verfügst, wird dieses von den Standardmustern, die von secret scanning unterstützt werden, nicht erkannt. Du kannst benutzerdefinierte Muster definieren, die nur in deiner Organisation gültig sind, und die die Fähigkeiten von secret scanning zur Mustererkennung erweitern. Weitere Informationen findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.

  • Wenn du weißt, welche Geheimnisse kompromittiert werden können, kannst du leicht die Behebung der durch secret scanning gefundenen Sicherheitslücken priorisieren. Gültigkeitsprüfungen informieren darüber, ob ein aktives Geheimnis weiterhin kompromittiert werden kann. So können diese Warnungen vorrangig überprüft und behoben werden. Weitere Informationen findest du unter Aktivieren von Gültigkeitsüberprüfungen für Ihr Repository.

  • Möglicherweise möchtest du auch Lecks unstrukturierter Geheimnisse wie Kennwörter erkennen. Dies ist mit unserem KI-basierten Copilot Geheimnisüberprüfung möglich. Weitere Informationen findest du unter Verantwortungsvolle Erkennung generischer Geheimnisse mit Copilot Geheimnisüberprüfung.

  • Die Visualisierung der Verhinderung, Erkennung und Behebung von Sicherheitslücken ist entscheidend, um zu verstehen, wohin die Bemühungen gelenkt werden müssen und wo Sicherheitsinitiativen eine Wirkung zeigen. Die Sicherheitsübersicht verfügt über dedizierte Ansichten, die einen tiefen Einblick in den aktuellen Zustand deiner Codebasis auf Organisations- und Unternehmensebene ermöglichen. Weitere Informationen findest du unter Informationen zur Sicherheitsübersicht.

Zusätzlich zum Erkennen und Verhindern von Geheimnislecks solltest du in Betracht ziehen, Codesicherheit in alle Workflows der Organisation zu integrieren, um die Softwarelieferkette zu schützen. Weitere Informationen findest du unter Informationen zur Lieferkettensicherheit.

Wenn du Hilfe bei der Bewertung der Sicherheitsanforderungen oder -optionen benötigst, wende dich an das Vertriebsteam von GitHub.

Alternativ kannst du GitHub Advanced Security kostenlos testen, um deinen Bedarf zu ermitteln. Weitere Informationen findest du unter Planung für die Testversion von GitHub Advanced Security.

Aktivieren von Secret Protection

Du kannst schnell Sicherheitsfeatures im großen Stil mit der GitHub-recommended security configuration, eine Sammlung von Sicherheitsaktivierungseinstellungen, die du auf Repositorys in einer Organisation anwenden kannst. Anschließend kannst du die Advanced Security-Features auf Organisationsebene mit global settings weiter anpassen. Weitere Informationen findest du unter Informationen zum Aktivieren von Sicherheitsfeatures im großen Stil.

Security configurations kann auf Unternehmens- und Organisationsebene angewendet werden. Du kannst auch zusätzliche Sicherheitseinstellungen für deine Organisation konfigurieren. Diese Einstellungen, die global settings genannt werden, werden dann von allen Repositorys in der Organisation geerbt. Mit global settings lassen sich die Sicherheitsfeatures zur Analyse der Organisation individuell anpassen. Weitere Informationen findest du unter Konfigurieren globaler Sicherheitseinstellungen für Ihre Organisation.

Zudem können für die Repository-Administration Sicherheitsfeatures auf Repository-Ebene aktiviert werden.

Aktiviert von Secret Protection über das secret risk assessment

Note

Der Bericht zur secret risk assessment befindet sich derzeit in der public preview. Änderungen sind vorbehalten. Wenn du Feedback oder Fragen hast, nimm an der Diskussion in GitHub Community teil – wir hören zu.

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Klicke auf der Randleiste unter „Security“ auf Assessments.

  4. Klicke in der Banneranzeige auf das Dropdownmenü Enable Secret Protection, und wähle dann eine der Optionen zur Aktivierung des Features in den Repositorys deines Unternehmens.

    • Für öffentliche Repositorys kostenlos: Klicke hier, um nur öffentliche Repositorys in deiner Organisation zu aktivieren.

    • Für alle Repositorys: Klicke auf Enable Secret Protection zum Aktivieren des Geheimnisschutzes aktivieren, um sowohl secret scanning als auch den Pushschutz für alle Repositorys in der Organisation zu aktivieren, und zwar zu den angezeigten geschätzten Kosten. Es entstehen Nutzungskosten, oder es müssen GitHub Secret Protection-Lizenzen erworben werden.

      Du kannst auch auf Configure in settings klicken, um anzupassen, für welche Repositorys Secret Protection aktiviert werden soll. Siehe Anwendung der von GitHub empfohlenen Sicherheitskonfiguration in Ihrer Organisation und Erstellen einer benutzerdefinierten Sicherheitskonfiguration.