Anzeigen und Filtern von Warnungen aus Geheimnisüberprüfung

Learn how to find and filter secret scanning alerts for your repository.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

In diesem Artikel

Informationen zur secret scanning-Warnungsseite

Wenn du secret scanning für ein Repository aktivierst oder Commits in ein Repository pushst, wobei secret scanning aktiviert ist, überprüft GitHub den Inhalt auf Geheimnisse, die mit von Dienstanbietern definierten Mustern sowie jeglichen benutzerdefinierten Mustern, die in deinem Unternehmen, deiner Organisation oder deinem Repository definiert sind, übereinstimmen.

Wenn secret scanning ein Geheimnis erkennt, generiert GitHub eine Warnung. GitHub zeigt eine Warnung auf der Registerkarte Sicherheit des Repositorys an.

Um Warnungen effektiver zu triagen, trennt GitHub Warnungen in zwei Listen:

  • Warnungen mit hoher Vertrauenswürdigkeit.
  • Andere Warnungen.

Screenshot der Warnungsansicht von secret scanning. Die Schaltfläche, die zwischen „Hohe Vertrauenswürdigkeit“ und „Andere“ Warnungen umschalten soll, wird mit einer orangefarbenen Kontur hervorgehoben.

Liste über Warnungen mit hoher Vertrauenswürdigkeit

Die Liste über Warnungen mit „hoher Vertrauenswürdigkeit“ zeigt Warnungen an, die sich auf unterstützte Muster und angegebene benutzerdefinierte Muster beziehen. Diese Liste ist immer die Standardansicht für die Warnungsseite.

Liste anderer Warnungen

In der Liste „Andere“ Warnungen werden Warnungen angezeigt, die sich auf Nichtanbietermuster beziehen (z. B. private Schlüssel) erkannt wurden. Diese Arten von Warnungen haben eine höhere Rate falsch positiver Ergebnisse.

Und Warnungen, die in diese Kategorie fallen:

  • Sind in der Menge auf 5000 Warnungen pro Repository begrenzt (dies umfasst offene und geschlossene Warnungen).
  • Werden nicht in den Zusammenfassungsansichten für die Sicherheitsübersicht angezeigt, sondern nur in der Ansicht „Secret scanning“.
  • Es werden nur die ersten fünf erkannten Speicherorte für GitHub für Nichtanbietermuster angezeigt angezeigt wird.

Damit GitHub nach Nicht-Anbietermustern, müssen Sie zuerst die Feature für Ihr Repository oder Ihre Organisation aktivieren. Weitere Informationen findest du unter Aktivieren der Geheimnisüberprüfung auf Nicht-Anbietermuster.

Anzeigen von Warnungen

Warnungen für secret scanning werden auf der Registerkarte „Sicherheit“ des Repositorys angezeigt.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicken Sie auf der linken Randleiste unter „Sicherheitsrisikowarnungen“ auf Secret scanning .

  4. Wechsle optional zu Other, um Warnungen für Nichtanbietermuster anzuzeigen.

  5. Klicken Sie unter „Secret scanning“ auf die Warnung, die Sie anzeigen möchten.

    Hinweis

    Nur Personen mit Admin-Berechtigungen für das Repository, das ein durchgesickertes Geheimnis enthält, können die Details einer Sicherheitsmeldung und die Token-Metadaten für eine Warnung einsehen. Unternehmensbesitzer können für diesen Zweck temporären Zugriff auf das Repository anfordern.

Filtern von Warnungen

Sie können verschiedene Filter auf die Warnungsliste anwenden, um die Benachrichtigungen zu finden, an denen Sie interessiert sind. Sie können die Dropdownmenüs oberhalb der Warnungsliste verwenden oder die in der Tabelle aufgeführten Qualifizierer in die Suchleiste eingeben.

QualifiziererBeschreibung
bypassedZeigt Warnungen für Geheimnisse an, bei denen der Pushschutz umgangen wurde (true). Weitere Informationen finden Sie unter Informationen zum Pushschutz.
confidenceZeigt Warnungen für Geheimnisse mit hoher Vertrauenswürdigkeit an, die sich auf unterstützte Geheimnisse und benutzerdefinierte Muster (high) oder Nicht-Anbietermuster wie private Schlüssel (other) beziehen. Weitere Informationen findest du unter Unterstützte Scanmuster für geheime Schlüssel.
isZeigt Warnungen an, die offen (open) oder geschlossen (closed) sind.
propsZeigt Warnungen für Repositorys mit einer bestimmten benutzerdefinierten Eigenschaft (CUSTOM_PROPERTY_NAME) an. props:data_sensitivity:high zeigt beispielsweise Ergebnisse für Repositorys an, deren data_sensitivity-Eigenschaft auf high festgelegt ist.
providerZeigt Warnungen für einen bestimmten Anbieter (PROVIDER-NAME) an, z. B. provider:github. Eine Liste unterstützter Partner findest du unter Unterstützte Scanmuster für geheime Schlüssel.
repoZeigt Warnungen an, die in einem angegebenen Repository (REPOSITORY-NAME) erkannt wurden, z. B. repo:octo-repository.
resolutionZeigt Warnungen an, die als „False Positive“ (false-positive), „ausgeblendet durch Konfiguration“ (hidden-by-config), „Muster gelöscht“ (pattern-deleted), „Muster bearbeitet“ (pattern-edited), „widerrufen“ (revoked), „in Tests verwendet“ (used-in-tests) oder „wird nicht behoben“ (wont-fix) geschlossen wurden.
secret-typeZeigt Warnungen für einen bestimmten Geheimnistyp (SECRET-NAME) an, z. B. secret-type:github_personal_access_token. Eine Liste unterstützter Geheimnistypen findest du unter Unterstützte Scanmuster für geheime Schlüssel.
sortZeigen Sie Warnungen von der neuesten zur ältesten an (created-desc), von der ältesten zur neuesten (created-asc), nach der jüngsten Aktualisierung (updated-desc) oder nach der am weitesten zurückliegenden Aktualisierung (updated-asc).
teamZeigt Warnungen an, die Mitgliedern des angegebenen Teams gehören, z. B. team:octocat-dependabot-team.
topicZeigt Warnungen mit dem entsprechenden Repositorythema, z. B. topic:asdf.
validityZeigt Warnungen für Geheimnisse mit einer bestimmten Gültigkeit (active, inactive oder unknown) an. Weitere Informationen zu Gültigkeitsstatus findest du unter Bewerten von Warnungen aus der Geheimnisüberprüfung.

Nächste Schritte