Informationen zum geheimen Scannen für Partner

When secret scanning detects authentication details for a service provider in a public repository on GitHub, an alert is sent directly to the provider. This allows service providers who are GitHub partners to promptly take action to secure their systems.

Wer kann dieses Feature verwenden?

Warnungen zur Geheimnisüberprüfung für Partner wird standardmäßig in den folgenden Repositorys ausgeführt:

  • Öffentliche Repositorys und öffentliche npm-Pakete auf GitHub

In diesem Artikel

Informationen zu Warnungen zur Geheimnisüberprüfung für Partner

GitHub durchsucht öffentliche Repositories und öffentliche npm-Pakete nach Geheimnissen, die von bestimmten Dienstanbietern ausgegeben werden, die unserem Partnerprogramm beigetreten sind, und benachrichtigt den jeweiligen Dienstanbieter, sobald ein Geheimnis in einem Commit entdeckt wird. Der Dienstanbieter überprüft die Zeichenfolge und entscheidet dann, ob er das Geheimnis widerrufen, ein neues Geheimnis ausstellen oder sich direkt an dich wenden soll. Die Maßnahmen hängen von den Risiken ab, die für dich oder sie bestehen. Informationen zu unserem Partnerprogramm findest du unter Partnerprogramm für die Geheimnisüberprüfung.

Hinweis

Du kannst die Konfiguration der secret scanning für Muster von Partnern in öffentlichen Repositorys nicht ändern.

Warnungen zur Geheimnisüberprüfung für Partner-Scans:

  • Beschreibungen und Kommentare in Problemen
  • Titel, Beschreibungen und Kommentare in offenen und geschlossenen historischen Angelegenheiten
  • Titel, Beschreibungen und Kommentaren in Pull Requests
  • Titel, Beschreibungen und Kommentare in GitHub Discussions
  • Wikis
  • Geheime Gists

Der Grund, warum Partnerbenachrichtigungen direkt an Authentifizierungskomponenten gesendet werden, wenn ein Leck für einen ihrer geheimen Schlüssel erkannt wird, besteht darin, dass der Anbieter sofortige Maßnahmen ergreifen kann, um Sie und ihre Ressourcen zu schützen. Der Benachrichtigungsprozess für normale Warnungen ist anders. Normale Warnungen werden auf der Registerkarte Sicherheit des Repositorys auf GitHub angezeigt, damit Sie aufgelöst werden können.

Wenn der Zugriff auf eine Ressource gekoppelte Anmeldeinformationen erfordert, löst die Überprüfung des Geheimnisses nur dann eine Warnung aus, wenn beide Teile der Kopplung in derselben Datei erkannt werden. So wird sichergestellt, dass die wichtigsten Lecks nicht hinter Informationen über partielle Lecks versteckt bleiben. Der Paarabgleich hilft auch dabei, falsch positive Ergebnisse zu reduzieren, da beide Elemente eines Paares zusammen verwendet werden müssen, um auf die Ressource des Anbieters zuzugreifen.

Welche Geheimnisse werden unterstützt?

Weitere Informationen über Geheimnisse und Dienstanbieter, für die der Pushschutz unterstützt wird, finden Sie unter Unterstützte Scanmuster für Secrets.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/secret-scanning/introduction/about-secret-scanning)

  •         [AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns)

  •         [AUTOTITLE](/code-security/secret-scanning/secret-scanning-partnership-program/secret-scanning-partner-program)