Informationen zur Geheimnisüberprüfung

Verhindern Sie die betrügerische Verwendung Ihrer geheimen Daten, indem Sie die verfügbar gemachten Anmeldeinformationen automatisch erkennen, bevor sie ausgenutzt werden können.

In diesem Artikel

Wenn Anmeldeinformationen wie API-Schlüssel und Kennwörter an Repositorys gebunden sind, werden sie zu Zielen für nicht autorisierten Zugriff. Secret scanning erkennt automatisch diese zur Verfügung gestellten Secrets, damit Sie sie sichern können, bevor sie ausgenutzt werden.

Wie geheime Scans Ihren Code schützen

Secret scanning durchsucht Ihre gesamte Git Historie auf allen Branches Ihres Repositorys nach API-Schlüsseln, Kennwörtern, Token und anderen bekannten Secret-Typen. GitHub überprüft auch regelmäßig Repositorys, wenn neue geheime Typen hinzugefügt werden.

GitHub überprüft ebenfalls automatisch:

  • Beschreibungen und Kommentare in Problemen
  • Titel, Beschreibungen und Kommentare in offenen und geschlossenen historischen Angelegenheiten
  • Titel, Beschreibungen und Kommentaren in Pull Requests
  • Titel, Beschreibungen und Kommentare in GitHub Discussions
  • Geheime Gists

Secret scanning Warnungen und Korrekturen

Wenn secret scanning ein potenzielles Secret findet, generiert GitHub eine Warnung auf der Registerkarte Sicherheit Ihres Repositorys mit Details zu den Anmeldeinformationen.

Wenn Sie eine Benachrichtigung erhalten, drehen Sie die betroffenen Anmeldeinformationen sofort, um nicht autorisierten Zugriff zu verhindern. Obwohl Sie auch Geheimnisse aus Ihrem Git-Verlauf entfernen können, ist dies zeitaufwändig und oft unnötig, wenn Sie die Anmeldeinformationen bereits widerrufen haben.

Anpassbarkeit

Über die standardmäßige Erkennung von Partner- und Anbietergeheimnissen hinaus können Sie secret scanning anpassen und entsprechend Ihren Anforderungen erweitern.

  •         **Nicht-Anbieter-Muster.** Erweitern Sie die Erkennung auf geheime Schlüssel, die nicht an einen bestimmten Dienstanbieter gebunden sind, z. B. private Schlüssel, Verbindungszeichenfolgen und generische API-Schlüssel.

  •         **Benutzerdefinierte Muster.** Definieren Sie Ihre eigenen regulären Ausdrücke, um organisationsspezifische Geheimnisse zu erkennen, die nicht von den Standardmustern abgedeckt werden.

  •         **Gültigkeitsprüfungen.** Priorisieren Sie die Behebung, indem Sie überprüfen, ob erkannte geheimen Informationen noch aktiv sind.

Wie kann ich auf dieses Feature zugreifen?

Secret scanning ist für die folgenden Repositorytypen verfügbar:

  •         **Öffentliche Repositorys**: Secret scanning werden automatisch kostenlos ausgeführt.

  •         **Organisationseigene private und interne Repositories**: Verfügbar mit [GitHub Advanced Security](/get-started/learning-about-github/about-github-advanced-security) aktiviert in GitHub Team oder GitHub Enterprise Cloud.

  •         **Benutzereigene Repositories**: Verfügbar auf GitHub Enterprise Cloud mit Enterprise Managed Users. Verfügbar auf GitHub Enterprise Server, wenn das Unternehmen [GitHub Advanced Security](/get-started/learning-about-github/about-github-advanced-security) aktiviert hat.

Nächste Schritte

  •         **Wenn Sie eine Benachrichtigung erhalten haben**, lesen Sie [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning), um zu erfahren, wie Sie offengelegte Geheimnisse überprüfen, lösen und beheben können.

Weiterführende Lektüre