Informationen zur Geheimnisüberprüfung

Verhindern Sie die betrügerische Verwendung Ihrer geheimen Daten, indem Sie die verfügbar gemachten Anmeldeinformationen automatisch erkennen, bevor sie ausgenutzt werden können.

In diesem Artikel

Wenn Anmeldeinformationen wie API-Schlüssel und Kennwörter an Repositorys gebunden sind, werden sie zu Zielen für nicht autorisierten Zugriff. Secret scanning erkennt automatisch diese zur Verfügung gestellten Secrets, damit Sie sie sichern können, bevor sie ausgenutzt werden.

Tipp

Zu jeder Zeit können Sie eine kostenlose Überprüfung des Codes Ihrer Organisation auf offengelegte Geheimnisse durchführen.

Um einen Bericht zu generieren, öffnen Sie Zeige auf der Registerkarte Security für deine Organisation die Seite Assessments an, und klicke dann auf Scan your organization.

Wie geheime Scans Ihren Code schützen

Secret scanning durchsucht Ihre gesamte Git Historie auf allen Branches Ihres Repositorys nach API-Schlüsseln, Kennwörtern, Token und anderen bekannten Secret-Typen. GitHub überprüft auch regelmäßig Repositorys, wenn neue geheime Typen hinzugefügt werden.

GitHub überprüft ebenfalls automatisch:

  • Beschreibungen und Kommentare in Problemen
  • Titel, Beschreibungen und Kommentare in offenen und geschlossenen historischen Angelegenheiten
  • Titel, Beschreibungen und Kommentaren in Pull Requests
  • Titel, Beschreibungen und Kommentare in GitHub Discussions
  • Wikis
  • Geheime Gists

Secret scanning Warnungen und Korrekturen

Wenn secret scanning ein potenzielles Secret findet, generiert GitHub eine Warnung auf der Registerkarte Sicherheit Ihres Repositorys mit Details zu den Anmeldeinformationen.

Wenn Sie eine Benachrichtigung erhalten, drehen Sie die betroffenen Anmeldeinformationen sofort, um nicht autorisierten Zugriff zu verhindern. Obwohl Sie auch Geheimnisse aus Ihrem Git-Verlauf entfernen können, ist dies zeitaufwändig und oft unnötig, wenn Sie die Anmeldeinformationen bereits widerrufen haben.

Anpassbarkeit

Über die standardmäßige Erkennung von Partner- und Anbietergeheimnissen hinaus können Sie secret scanning anpassen und entsprechend Ihren Anforderungen erweitern.

  •         **Nicht-Anbieter-Muster.** Erweitern Sie die Erkennung auf geheime Schlüssel, die nicht an einen bestimmten Dienstanbieter gebunden sind, z. B. private Schlüssel, Verbindungszeichenfolgen und generische API-Schlüssel.

  •         **Benutzerdefinierte Muster.** Definieren Sie Ihre eigenen regulären Ausdrücke, um organisationsspezifische Geheimnisse zu erkennen, die nicht von den Standardmustern abgedeckt werden.

  •         **Gültigkeitsprüfungen.** Priorisieren Sie die Behebung, indem Sie überprüfen, ob erkannte geheimen Informationen noch aktiv sind.

Informationen zu Gültigkeitsprüfungen

Gültigkeitsprüfungen helfen Ihnen, zu priorisieren, welche geheimen Schlüssel zuerst behoben werden sollen, indem Sie überprüfen, ob ein erkannter geheimer Schlüssel noch aktiv ist. Wenn du die Gültigkeitsprüfung aktivierst, kontaktiert secret scanning möglicherweise den Dienst, der das Secret ausstellt, um festzustellen, ob die Anmeldeinformation widerrufen wurde.

Die Gültigkeitsprüfung ist unabhängig vom Partnerprogramm von secret scanning. Während Partnergeheimnisse automatisch zur Sperrung an Dienstanbieter gemeldet werden, überprüfen Gültigkeitsprüfungen den Status von geheimen Schlüsseln, die Sie in Ihren eigenen Benachrichtigungen verwalten. Weitere Informationen finden Sie unter Informationen zu Gültigkeitsprüfungen.

Wie kann ich auf dieses Feature zugreifen?

Secret scanning ist für die folgenden Repositorytypen verfügbar:

  •         **Öffentliche Repositorys**: Secret scanning werden automatisch kostenlos ausgeführt.

  •         **Organisationseigene private und interne Repositories**: Verfügbar mit [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) aktiviert in GitHub Team oder GitHub Enterprise Cloud.

  •         **Benutzereigene Repositories**: Verfügbar auf GitHub Enterprise Cloud mit Enterprise Managed Users. Verfügbar auf GitHub Enterprise Server, wenn das Unternehmen [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) aktiviert hat.

Nächste Schritte

  •         **Wenn Sie eine Benachrichtigung erhalten haben**, lesen Sie [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning), um zu erfahren, wie Sie offengelegte Geheimnisse überprüfen, lösen und beheben können.

  •         **Wenn Sie eine Organisation schützen**, lesen Sie [AUTOTITLE](/code-security/how-tos/secure-at-scale/configure-organization-security/configure-specific-tools/assess-your-secret-risk) , um die Exposition Ihrer Organisation an geleeckte Geheimnisse zu ermitteln.

Weiterführende Lektüre