Hinweis: Das Feature secret scanning alerts for users ist als Betaversion für Benutzer in GitHub Free-, GitHub Pro- oder GitHub Team-Plänen verfügbar und kann noch geändert werden.
Verwalten von secret scanning alerts
Hinweis: Warnungen werden nur für Repositorys erstellt, bei denen secret scanning alerts for users aktiviert ist. Geheimnisse, die in öffentlichen Repositorys mit dem kostenlosen Dienst secret scanning alerts for partners gefunden werden, werden direkt dem Partner gemeldet, ohne dass eine Warnung erstellt wird. Weitere Informationen findest du unter Unterstützte Geheimnisse für Partnerwarnungen.
-
Navigiere auf GitHub.com zur Hauptseite des Repositorys. 1. Klicke unter dem Repositorynamen auf Sicherheit.
-
Klicke auf der linken Randleiste auf Warnungen der Geheimnisüberprüfung.
-
Klicke unter „Secret scanning" (nach Geheimnissen durchsuchen) auf die Warnung, die du ansehen willst.
-
Um eine Warnung zu schließen, wähle das Dropdownmenü „Warnung schließen“ aus, und klicke auf einen Grund zum Beheben einer Warnung.
-
Füge optional einen Kommentar hinzu. Der Kommentar zum Schließen wird der Zeitleiste der Warnung hinzugefügt und kann bei Prüfungen und Berichterstellungen als Begründung verwendet werden. Du kannst den Verlauf aller geschlossenen Warnungen und zugehörigen Kommentare in der Zeitachse der Warnungen einsehen. Du kannst auch mithilfe der Secret scanning-API einen Kommentar abrufen oder festlegen. Der Kommentar ist im Feld
resolution_commententhalten. Weitere Informationen findest du unter Secret scanning in der REST-API-Dokumentation.
-
Klicke auf Warnung schließen.
Kompromittierte Geheimnisse sichern
Sobald ein Geheimnis an ein Repository übergeben wurde, solltest du das Geheimnis als kompromittiert betrachten. GitHub empfiehlt die folgenden Aktionen für kompromittierte Geheimnisse:
-
Lösche bei einem kompromittierten persönlichen Zugriffstoken für GitHub personal access token das kompromittierte Token, erstelle ein neues Token und aktualisiere alle Dienste, die das alte Token verwenden. Weitere Informationen findest du unter Erstellen eines personal access token für die Befehlszeile.
-
Für alle anderen Geheimnisse überprüfe zuerst, dass das per Commit an GitHub übergebene Geheimnis gültig ist. Wenn dies der Fall ist, erstelle ein neues Geheimnis, aktualisiere alle Dienste, die das alte Geheimnis verwenden, und lösche dann das alte Geheimnis.
Hinweis: Wenn ein Geheimnis in einem öffentlichen Repository auf GitHub.com erkannt wird und das Geheimnis auch einem Partnermuster entspricht, wird eine Warnung generiert, und das potenzielle Geheimnis wird dem Dienstanbieter gemeldet. Ausführliche Informationen zu Partnermustern findest du unter Unterstützte Geheimnisse für Partnerwarnungen.
Konfigurieren von Benachrichtigungen für secret scanning alerts
Wenn ein neues Geheimnis erkannt wird, benachrichtigt GitHub alle Benutzer mit Zugriff auf Sicherheitswarnungen für das Repository entsprechend ihren Benachrichtigungseinstellungen. Du erhältst eine E-Mail-Benachrichtigung, wenn du das Repository beobachtest, Benachrichtigungen für Sicherheitswarnungen oder für alle Aktivitäten im Repository aktiviert hast oder den Commit mit dem Geheimnis erstellt hast und das Repository nicht ignorierst.
Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Konfigurieren von Benachrichtigungen.