Informationen zu Warnungen zur Geheimnisüberprüfung

Erfahren Sie mehr über die verschiedenen Typen von Warnungen zur Geheimnisüberprüfung.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

Secret scanning ist für die folgenden Repositorytypen verfügbar:

  •         **Öffentliche Repositorys**: Secret scanning werden automatisch kostenlos ausgeführt.

  •         **Organisationseigene private und interne Repositories**: Verfügbar mit [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) aktiviert in GitHub Team oder GitHub Enterprise Cloud.

  •         **Benutzereigene Repositories**: Verfügbar auf GitHub Enterprise Cloud mit Enterprise Managed Users. Verfügbar auf GitHub Enterprise Server, wenn das Unternehmen [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) aktiviert hat.

In diesem Artikel

Informationen zu Warnungstypen

Es gibt zwei Arten von Warnungen zur Geheimnisüberprüfung:

  • Warnungen zum Geheimnis-Scanning: Werden den Benutzern auf der Registerkarte Sicherheit des Repositorys gemeldet, wenn im Repository ein unterstütztes Geheimnis erkannt wird.
  • Pushschutzwarnungen: Werden den Benutzern auf der Registerkarte Sicherheit des Repositorys gemeldet, wenn ein Mitwirkender den Pushschutz umgeht.

Über Warnungen zur Geheimnisüberprüfung

Wenn du secret scanning für ein Repository aktivierst oder Commits in ein Repository pushst, wobei secret scanning aktiviert ist, überprüft GitHub den Inhalt auf Geheimnisse, die mit von Dienstanbietern definierten Mustern sowie jeglichen benutzerdefinierten Mustern, die in deinem Unternehmen, deiner Organisation oder deinem Repository definiert sind, übereinstimmen.

Wenn secret scanning ein Geheimnis erkennt, generiert GitHub eine Warnung. GitHub zeigt eine Warnung auf der Registerkarte Sicherheit des Repositorys an.

Um Warnungen effektiver zu triagen, trennt GitHub Warnungen in zwei Listen:

  •         **Standardwarnungen** 

  •         **Generische** Warnungen

Standardbenachrichtigungsliste

Die Liste über Standardwarnungen zeigt Warnungen an, die sich auf unterstützte Muster und angegebene benutzerdefinierte Muster beziehen. Dies ist die Hauptansicht für Warnungen.

Liste generischer Warnungen

Die Liste generischer Warnungen zeigt Warnungen an, die mit Nichtanbietermustern (z. B. private Schlüssel) in Verbindung stehen. Diese Arten von Warnungen können eine höhere Rate falsch positiver Ergebnisse oder verwendete Geheimnisse in Tests. Du kannst die Liste generischer Warnungen über die Liste mit Standardwarnungen umschalten.

GitHub wird weiterhin neue Muster und Geheimnistypen in die generic Warnliste aufnehmen und sie in die Standardliste aufnehmen, sobald sie vollständig implementiert sind (d. h. wenn sie ein angemessen niedriges Volumen und eine niedrige Falsch-Positiv-Rate aufweisen).

Darüber hinaus Warnungen, die in diese Kategorie fallen:

  • Sind in der Menge auf 5000 Warnungen pro Repository begrenzt (dies umfasst offene und geschlossene Warnungen).
  • Werden nicht in den Zusammenfassungsansichten für die Sicherheitsübersicht angezeigt, sondern nur in der Ansicht „Secret scanning“.
  • Es werden nur die ersten fünf erkannten Speicherorte für GitHub für Nichtanbietermuster angezeigt angezeigt wird.

Damit GitHub nach Nicht-Anbietermustern, müssen Sie zuerst die Feature für Ihr Repository oder Ihre Organisation aktivieren. Weitere Informationen finden Sie unter Aktivieren der Geheimnisüberprüfung für Nicht-Anbietermuster.

Wenn der Zugriff auf eine Ressource gekoppelte Anmeldeinformationen erfordert, löst die Überprüfung des Geheimnisses nur dann eine Warnung aus, wenn beide Teile der Kopplung in derselben Datei erkannt werden. So wird sichergestellt, dass die wichtigsten Lecks nicht hinter Informationen über partielle Lecks versteckt bleiben. Der Paarabgleich hilft auch dabei, falsch positive Ergebnisse zu reduzieren, da beide Elemente eines Paares zusammen verwendet werden müssen, um auf die Ressource des Anbieters zuzugreifen.

Informationen zu Pushschutzwarnungen

Push-Schutz überprüft Push-Scans auf unterstützte geheime Schlüssel. Wenn der Push-Schutz einen unterstützten geheimen Schlüssel erkennt, wird der Push blockiert. Wenn ein Mitwirkender den Push-Schutz umgeht, um einen geheimen Schlüssel an das Repository zu übertragen, wird eine Push-Schutzwarnung generiert und auf der Registerkarte Sicherheit des Repositorys angezeigt. Um alle Push-Schutzwarnungen für ein Repository anzuzeigen, müssen Sie nach bypassed: true auf der Warnungsseite filtern. Weitere Informationen finden Sie unter Anzeigen und Filtern von Warnungen aus der Secrets-Überprüfung.

Wenn der Zugriff auf eine Ressource gekoppelte Anmeldeinformationen erfordert, löst die Überprüfung des Geheimnisses nur dann eine Warnung aus, wenn beide Teile der Kopplung in derselben Datei erkannt werden. So wird sichergestellt, dass die wichtigsten Lecks nicht hinter Informationen über partielle Lecks versteckt bleiben. Der Paarabgleich hilft auch dabei, falsch positive Ergebnisse zu reduzieren, da beide Elemente eines Paares zusammen verwendet werden müssen, um auf die Ressource des Anbieters zuzugreifen.

Hinweis

Ältere Versionen bestimmter Token werden möglicherweise nicht vom Pushschutz unterstützt, da diese Token mehr falsch positive Ergebnisse generieren könnten als die neueste Version. Der Pushschutz gilt möglicherweise auch nicht für Legacytoken. Für Token wie Azure Storage-Schlüssel unterstützt GitHub nur kürzlich erstellte Token, also keine Token, die den Legacymustern entsprechen. Weitere Informationen zu Einschränkungen beim Pushschutz finden Sie unter Erkennungsbereich für Secret-Scanning.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/reference/secret-security/supported-secret-scanning-patterns)

  •         [AUTOTITLE](/code-security/how-tos/secure-your-secrets/detect-secret-leaks/enabling-secret-scanning-for-non-provider-patterns)