Aktivieren von Gültigkeitsprüfungen für dein Repository

Die Aktivierung von Gültigkeitsprüfungen für dein Repository hilft dir dabei, die Korrektur von Warnhinweisen zu priorisieren, da sie dir sagt, ob ein Secret aktiv oder inaktiv ist.

Wer kann dieses Feature verwenden?

Gültigkeitsprüfungen für Partnermuster sind für die folgenden Repositorytypen verfügbar:

  • Repositorys im Besitz von Organisationen auf GitHub Team oder GitHub Enterprise Cloud,die GitHub Secret Protection aktiviert haben

Gültigkeitsprüfungen für Partnermuster sind für GitHub Enterprise-Cloud mit Datenresidenz auf GHE.com nicht verfügbar.

In diesem Artikel

Informationen zu Gültigkeitsprüfungen

Du kannst die Gültigkeitsprüfung für Secrets aktivieren, die als Token des Anbieters für dein Repository identifiziert wurden. Wenn diese Funktion aktiviert ist, überprüft GitHub regelmäßig die Gültigkeit einer erkannten Anmeldeinformation, indem es das Secret als Element des Partnerprogramms zur Überprüfung von Secrets direkt an den Anbieter sendet. Informationen zu unserem Partnerprogramm findest du unter Partnerprogramm für die Geheimnisüberprüfung.

GitHub zeigt den Validierungsstatus des Secrets in der Warnhinweis-Ansicht an, so dass du sehen kannst, ob das Secret active, inactive oder unknown ist. Optional können Sie eine "On-Demand"-Gültigkeitsprüfung für den geheimen Schlüssel in der Warnungsansicht durchführen.

Darüber hinaus können Sie Gültigkeitsprüfungen für Partnermuster aktivieren. Nach der Aktivierung überprüft GitHub regelmäßig die Gültigkeit einer erkannten Anmeldeinformationen, indem das Geheimnis direkt an den Anbieter gesendet wird, als Teil des formellen Scanpartnerschaftsprogramms von GitHub des Geheimnisses. GitHub sendet in der Regel GET-Anforderungen, um die Gültigkeit der Anmeldeinformationen zu überprüfen, wählt die am wenigsten intrusiven Endpunkte aus und wählt Endpunkte aus, die keine persönlichen Informationen zurückgeben.

GitHub zeigt den Überprüfungsstatus des geheimen Schlüssels in der Warnungsansicht an.

Sie können nach Überprüfungsstatus auf der Warnungsseite filtern, damit Sie priorisieren können, für welche Warnungen Sie Maßnahmen ergreifen müssen.

Hinweis

GitHub sendet in der Regel GET-Anforderungen, um die Gültigkeit der Anmeldeinformationen zu überprüfen, wählt die am wenigsten intrusiven Endpunkte aus und wählt Endpunkte aus, die keine persönlichen Informationen zurückgeben.

Weitere Informationen zur Verwendung von Gültigkeitsprüfungen findest du unter Bewerten von Warnungen aus der Geheimnisüberprüfung.

Aktivieren von Gültigkeitsüberprüfungen

Hinweis

Sie können auch die REST-API verwenden, um Gültigkeitsprüfungen für Partnermuster für Ihr Repository zu aktivieren. Weitere Informationen finden Sie unter REST-API-Endpunkte für Repositorys.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.

  4. Klicke unter „Secret Protection“ rechts neben „Validity checks“ auf Enable.

  5. Scrollen Sie zum Ende der Seite, und klicken Sie auf " Änderungen speichern".

Alternativ können Organisationsbesitzer und Unternehmensadministratoren das Feature für alle Repositorys in der Organisation oder im Unternehmen aktivieren. Weitere Informationen zur Aktivierung auf Organisationsebene findest du unter Erstellen einer benutzerdefinierten Sicherheitskonfiguration. Weitere Informationen zum Aktivieren auf Unternehmensebene findest du unter Erstellung einer angepassten Sicherheitskonfiguration für dein Unternehmen.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning)