Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Die aktuellsten Informationen findest du in der englischen Dokumentation.
 

 

Informationen zur Geheimnisüberprüfung

Inhalt dieses Artikels

GitHub überprüft Repositorys auf bekannte Geheimnistypen, um das betrügerische Verwenden von Geheimnissen zu verhindern, die aus Versehen committet wurden.

wird automatisch in öffentlichen Repositorys in allen Produkten auf GitHub.com ausgeführt. ist für private Repositorys im Besitz von Organisationen verfügbar, die GitHub Enterprise Cloud verwenden und über eine Lizenz für GitHub Advanced Security verfügen. Weitere Informationen findest du unter Produkte von GitHub.

Informationen zu secret scanning

Wenn dein Projekt mit einem externen Dienst kommuniziert, verwende allenfalls ein Token oder einen privaten Schlüssel für die Authentifizierung. Token und private Schlüssel sind Beispiele für Geheimnisse, die ein Dienstanbieter ausstellen kann. Wenn du ein Geheimnis in ein Repository einfügst, kann jedermann mit Lesezugriff auf das Repository das Geheimnis verwenden, um mit deinen Privilegien auf den externen Dienst zuzugreifen. Wir empfehlen, dass du Geheimnisse an einem dedizierten, sicheren Ort außerhalb deines Projekt-Repositorys speicherst.

Secret scanning überprüft den gesamten Git-Verlauf aller Branches in deinem GitHub-Repository auf Geheimnisse.

Secret scanning steht auf GitHub.com in zwei Formen zur Verfügung:

  1. . Wird automatisch für alle öffentlichen Repositorys ausgeführt. Alle Zeichenfolgen, die mit Mustern übereinstimmen, die von Partnern für die Geheimnisüberprüfung angegeben wurden, werden direkt an den jeweiligen Partner gemeldet.

  2. . Organisationen, die GitHub Enterprise Cloud mit einer Lizenz für GitHub Advanced Security verwenden, können zusätzliche Scans für Repositorys im Besitz der Organisation aktivieren und konfigurieren. Alle Zeichenfolgen, die mit Mustern übereinstimmen, die von Partnern für die Geheimnisüberprüfung oder durch andere Dienstanbieter angegeben oder die von deiner Organisation definiert wurden, werden als Warnmeldungen auf der Registerkarte „Sicherheit“ der Repositorys angezeigt. Wenn eine Zeichenfolge in einem öffentlichen Repository mit einem Partnermuster übereinstimmt, wird sie auch an den Partner gemeldet. Weitere Informationen findest du in der GitHub Enterprise Cloud-Dokumentation.

Dienstleister können mit GitHub zusammenarbeiten, um ihre geheimen Formate zum Durchsuchen bereitzustellen. Informationen zu unserem Partnerprogramm findest du unter Secret scanning-Partnerprogramm.

Informationen zu

Wenn du ein Repository als öffentlich kennzeichnest oder Änderungen an einem öffentlichen Repository vornimmst, durchsucht GitHub den Code immer nach Geheimnissen, die dem Partnermuster entsprechen. Wenn secret scanning ein potenzielles Geheimnis ermittelt, benachrichtigen wir den Dienstanbieter, der das Geheimnis ausgegeben hat. Der Dienstanbieter überprüft die Zeichenfolge und entscheidet dann, ob er das Geheimnis widerrufen, ein neues Geheimnis ausstellen oder sich direkt an dich wenden soll. Die Maßnahmen hängen von den Risiken ab, die für dich oder sie bestehen. Weitere Informationen findest du unter Unterstützte Geheimnisse für Partnermuster.

Du kannst die Konfiguration von secret scanning für öffentliche Repositorys nicht ändern.

Hinweis: Organisationen, die GitHub Enterprise Cloud mit GitHub Advanced Security verwenden, können auch für jedes eigene Repository aktivieren, einschließlich privater Repositorys. Weitere Informationen findest du in der Dokumentation zu GitHub Enterprise Cloud.

Weitere Informationsquellen