Überwachung von Warnhinweisen durch Secret-Scanning

Sie können konfigurieren, wie secret scanning Sie über secret scanning-Warnungen benachrichtigt, und prüfen, wie Ihr Team auf diese Warnungen reagiert.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

In diesem Artikel

Wenn secret scanning sie ein potenzielles geheimes Leck in Ihrem Repository erkennen, ist es entscheidend, dass Sie über diese Warnungen informiert bleiben, um die Sicherheit Ihres Codes aufrechtzuerhalten. GitHub stellt mehrere Benachrichtigungskanäle bereit, um zu gewährleisten, dass Sie und Ihr Team umgehend benachrichtigt werden, wenn geheime Daten gefunden werden. Sie können anpassen, wie und wann Sie diese Benachrichtigungen basierend auf Ihrer Rolle und Ihren Einstellungen erhalten.

Sie können auch Antworten auf secret scanning Warnungen überwachen, um nachzuverfolgen, wie Ihr Team Sicherheitsprobleme verwaltet und die Einhaltung der Sicherheitsrichtlinien Ihrer Organisation aufrecht erhält.

Konfigurieren von Benachrichtigungen für Warnungen zur Geheimnisüberprüfung

Neben der Anzeige einer Warnung auf der Security and quality Registerkarte des Repositorys GitHub können auch E-Mail-Benachrichtigungen für Warnungen gesendet werden. Diese Benachrichtigungen unterscheiden sich für inkrementelle Scans und historische Scans.

Inkrementelle Überprüfung

Wenn ein neues Geheimnis erkannt wird, benachrichtigt GitHub alle Benutzenden mit Zugriff auf Sicherheitswarnungen für das Repository entsprechend ihren Benachrichtigungseinstellungen. Zu diesen Benutzer gehören Folgenden:

  • Repositoryadministratoren
  • Sicherheitsmanager
  • Benutzer*innen mit benutzerdefinierten Rollen mit Lese-/Schreibzugriff
  • Organisationsbesitzerinnen und Unternehmensbesitzerinnen, wenn sie Administrator*innen von Repositorys sind, in denen Geheimnisse geleakt wurden

Hinweis

Autoren, die versehentlich Geheimnisse committed haben, werden unabhängig von ihren Benachrichtigungseinstellungen benachrichtigt.

Du erhältst in folgenden Fällen eine E-Mail-Benachrichtigung:

  • Du überwachst das Repository.
  • Sie haben Benachrichtigungen für "Alle Aktivitäten" oder für benutzerdefinierte "Sicherheitswarnungen" im Repository aktiviert.
  • Du hast in deinen Benachrichtigungseinstellungen unter „Abonnements“ > „Beobachten“ ausgewählt, dass du Benachrichtigungen per E-Mail erhalten möchtest.

Darüber hinaus erhalten Sie eine Benachrichtigung, wenn Ihnen jemand eine code scanning oder eine secret scanning Warnung zuweist. Siehe Zuweisen von Warnungen.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Um mit der Überwachung des Repositorys zu beginnen, wählen Sie "Überwachung" aus.

    Screenshot der Hauptseite des Repositorys. Ein Dropdownmenü mit dem Titel „Überwachen“ ist in dunklem Orange eingerahmt.

  3. Klicke im Dropdownmenü auf Jede Aktivität. Um nur Sicherheitswarnungen zu abonnieren, klicke alternativ auf Benutzerdefiniert und dann auf Sicherheitswarnungen.

  4. Navigiere zu den Benachrichtigungseinstellungen für dein persönliches Konto. Diese sind unter https://github.com/settings/notifications verfügbar.

  5. Wähle auf der Seite mit den Benachrichtigungseinstellungen unter „Abonnements“ und dann unter „Beobachten“ die Dropdownliste Mich benachrichtigen aus.

  6. Wähle „E-Mail“ als Benachrichtigungsoption aus, und klicke dann auf Speichern.

    Screenshot der Benachrichtigungseinstellungen für ein Benutzerkonto. Unter „Abonnements“ und ‚Überwachen‘ ist ein Kontrollkästchen mit der Überschrift „E-Mail“ orange umrandet.

Weitere Informationen zum Einrichten der Benachrichtigungseinstellungen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Konfigurieren von Überwachungseinstellungen für ein einzelnes Repository.

Verlaufsbezogene Überprüfungen

Bei historischen Scans benachrichtigt GitHub die folgenden Benutzer:

  • Organisationsbesitzerinnen, Unternehmensbesitzerinnen und Sicherheitsmanager – immer dann, wenn eine verlaufsbezogene Überprüfen abgeschlossen ist, auch wenn keine Geheimnisse gefunden werden
  • Repositoryadministratorinnen, Sicherheitsmanager und Benutzerinnen mit benutzerdefinierten Rollen mit Lese-/Schreibzugriff – immer dann, wenn bei einer verlaufsbezogenen Überprüfung ein Geheimnis erkannt wird, und entsprechend ihren Benachrichtigungseinstellungen

Commitautoren werden nicht benachrichtigt.

Weitere Informationen zum Einrichten der Benachrichtigungseinstellungen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Konfigurieren von Überwachungseinstellungen für ein einzelnes Repository.

Überwachungsantworten auf Warnungen zur Geheimnisüberprüfung

Du kannst die Aktionen, die als Reaktion auf secret scanning-Warnungen ergriffen wurden, mit GitHub-Tools überprüfen. Weitere Informationen finden Sie unter Prüfen von Sicherheitswarnungen.