Konfigurieren der Geheimnisüberprüfung für deine Appliance

Informationen zu secret scanning

Wenn jemand ein Geheimnis mit einem bekannten Muster in ein Repository eincheckt, fängt secret scanning das Geheimnis beim Einchecken ab, und verringert so die Auswirkungen des Lecks. Repositoryadministrator*innen werden über alle Commits informiert, die ein Geheimnis enthalten, und sie können alle erkannten Geheimnisse direkt auf der Registerkarte Sicherheit des Repositorys anzeigen. Weitere Informationen findest du unter Informationen zur Geheimnisüberprüfung.

Verfügbarkeit

Wenn das Unternehmen GitHub Secret Protection aktiviert hat, steht Secret scanning für Repositorys im Besitz der Organisation und von Benutzern zur Verfügung.

Überprüfen, ob deine Lizenz Advanced Security

umfasst

Du kannst ermitteln, ob dein Unternehmen über eine Lizenz für Advanced Security -Produkte verfügt, indem du die Einstellungen für dein Unternehmen überprüfst. Weitere Informationen finden Sie unter Aktivieren von GitHub Advanced Security-Produkten für dein Unternehmen.

Voraussetzungen für secret scanning

• Das SSSE3 (Supplemental Streaming SIMD Extensions 3) CPU Flag muss auf der VM/KVM, die GitHub Enterprise Server ausführt, aktiviert werden. Weitere Informationen zu SSSE3 finden Sie in der Intel 64- und IA-32 Architectures Optimization Reference Manual in der Intel-Dokumentation.

• Eine Lizenz für GitHub Secret Protection oder GitHub Advanced Security (weitere Informationen unter GitHub Advanced Security-Lizenzabrechnung)

• Aktivierung der Secret scanning in der Verwaltungskonsole (siehe Aktivieren von GitHub Advanced Security-Produkten für dein Unternehmen)

Überprüfen der Unterstützung für das SSSE3-Flag auf deinen vCPUs

Die Anweisungen zu SSSE3 sind erforderlich, da secret scanning den hardwarebeschleunigten Musterabgleich verwendet, um potenzielle Anmeldeinformationen zu finden, die an deine GitHub-Repositorys committet wurden. SSSE3 ist für die meisten modernen CPUs aktiviert. Du kannst überprüfen, ob SSSE3 für die vCPUs aktiviert ist, die für deine GitHub Enterprise Server-Instanz verfügbar sind.

1. Stelle eine Verbindung mit der Verwaltungsshell für deine GitHub Enterprise Server-Instanz her. Weitere Informationen findest du unter Auf die Verwaltungsshell (SSH) zugreifen.

2. Geben Sie den folgenden Befehl ein:

   grep -iE '^flags.*ssse3' /proc/cpuinfo >/dev/null; echo $?
   

   Wenn dieser den Wert 0 zurückgibt, bedeutet dies, dass das SSSE3-Flag verfügbar und aktiviert ist. Du kannst jetzt secret scanning aktivieren. Siehe Aktivierung von secret scanning unten.

   Wenn nicht 0 zurückgegeben wird, ist SSSE3 nicht für deine VM bzw. KVM aktiviert. Lies die Dokumentation zur Hardware bzw. zur Hypervisorebene, um zu erfahren, wie du das Flag aktivieren oder es für Gast-VMs verfügbar machen kannst.

Aktivieren von secret scanning

1. Klicke in einem Verwaltungskonto für GitHub Enterprise Server in der rechten oberen Ecke einer beliebigen Seite auf .

2. Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator.

3. Klicke in der Randleiste „ Site admin“ auf Verwaltungskonsole.

4. Klicke auf der Randleiste unter „Einstellungen“ auf Sicherheit.

5. Wähle unter „Sicherheit“ Secret scanning. 1. Klicke auf der Randleiste unter „Einstellungen“ auf Einstellungen speichern.

   Hinweis

   Durch das Speichern von Einstellungen in der Verwaltungskonsole werden Systemdienste neu gestartet, was zu einer für den Benutzer feststellbaren Downtime führen könnte.

6. Warten Sie auf den Abschluss der Konfigurationsausführung.

   Um Ihren Benutzern optional die Aktivierung von Gültigkeitsprüfungen auf Unternehmens-, Organisations- oder Repositoryebene zu ermöglichen, konfigurieren Sie Gültigkeitsprüfungen für secret scanning.

7. Klicke auf secret scanning Gültigkeitsprüfungen. Informationen zu Gültigkeitsprüfungen finden Sie unter Aktivieren von Gültigkeitsprüfungen für dein Repository.

   Hinweis

   Wenn Gültigkeitsprüfungen aktiviert werden, werden ausgehende Anfragen an Partnerdienste gesendet, um festgestellte Geheimnisse zu überprüfen. Dies bedeutet, dass geheime Metadaten Ihre Instanz verlassen. Sie müssen sicherstellen, dass dies den Sicherheits- und Compliancerichtlinien Ihres Unternehmens entspricht, bevor Sie dies aktivieren.

8. Wenn Sie einen einfachen Verbindungstest ausführen möchten, um sicherzustellen, dass ausgehende Verbindungen möglich sind, klicken Sie auf "Gültigkeitsprüfungsverbindungstest".

Deaktivieren von secret scanning

1. Klicke in einem Verwaltungskonto für GitHub Enterprise Server in der rechten oberen Ecke einer beliebigen Seite auf .

2. Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator.

3. Klicke in der Randleiste „ Site admin“ auf Verwaltungskonsole.

4. Klicke auf der Randleiste unter „Einstellungen“ auf Sicherheit.

5. Deaktiviere unter „Sicherheit“ die Option Secret scanning .

6. Klicke auf der Randleiste unter „Einstellungen“ auf Einstellungen speichern.

   Hinweis

   Durch das Speichern von Einstellungen in der Verwaltungskonsole werden Systemdienste neu gestartet, was zu einer für den Benutzer feststellbaren Downtime führen könnte.

7. Warten Sie auf den Abschluss der Konfigurationsausführung.