Wenn Dein Projekt mit einem externen Dienst kommuniziert, verwende allenfalls ein Token oder einen privaten Schlüssel für die Authentifizierung. Token und private Schlüssel sind Beispiele für Geheimnisse, die ein Dienstanbieter ausstellen kann. Wenn Du ein Geheimnis in ein Repository einfügst, kann jedermann mit Lesezugriff auf das Repository das Geheimnis verwenden, um mit Deinen Privilegien auf den externen Dienst zuzugreifen. Wir empfehlen, dass Du Geheimnisse an einem dedizierten, sicheren Ort außerhalb Deines Projekt-Repositorys speicherst.
Wenn jemand ein Geheimnis von einem GitHub-Partner in ein öffentliches oder privates Repository einfügt, dann kann secret scanning das Geheimnis entdecken und Dir helfen, die Auswirkungen des Lecks zu mildern.
Dienstleister können mit GitHub zusammenarbeiten, um ihre geheimen Formate zum Durchsuchen bereitzustellen. For more information, see "Secret scanning."
Informationen über secret scanning für öffentliche Repositorys
Wenn Du in ein öffentliches Repository überträgst, wird GitHub den Inhalt des Commit auf Geheimnisse durchsuchen. Wenn Du ein privates Repository auf öffentlich umstellst, wird GitHub das gesamte Repository nach Geheimnissen durchsuchen.
Wenn secret scanning einen Satz von Anmeldeinformationen erkennt, benachrichtigen wir den Dienstanbieter, der das Geheimnis ausgegeben hat. Der Dienstanbieter prüft die Anmeldeinformationen und entscheidet dann, ob er das Geheimnis widerrufen, ein neues Geheimnis ausstellen oder sich direkt an Dich wenden soll, was von den damit verbundenen Risiken für Dich oder den Dienstleister abhängt.
GitHub durchsucht derzeit öffentliche Repositorys nach Geheimnissen, die von den folgenden Dienstanbietern veröffentlicht wurden.
- Adafruit
- Alibaba Cloud
- Amazon Web Services (AWS)
- Atlassian
- Azure
- Clojars
- CloudBees CodeShip
- Databricks
- Datadog
- Discord
- Dropbox
- Dynatrace
- Finicity
- Frame.io
- GitHub
- GoCardless
- Google Cloud
- Hashicorp Terraform
- Hubspot
- Mailchimp
- Mailgun
- MessageBird
- npm
- NuGet
- Palantir
- Plivo
- Postman
- Proctorio
- Pulumi
- Samsara
- Shopify
- Slack
- SSLMate
- Stripe
- Tencent Cloud
- Twilio
Informationen zu secret scanning für private Repositorys
Hinweis: Secret scanning für private Repositorys befindet sich derzeit in der Beta-Version und kann sich jederzeit verändern. Um Zugriff auf die Beta-Version zu erhalten, tritt der Warteliste bei.
Wenn Du Commits in ein privates Repository überträgst, das secret scanning aktiviert hat, wird GitHub den Inhalt des Commits nach Geheimnissen durchsuchen.
Wenn secret scanning ein Geheimnis in einem privaten Repository entdeckt, wird GitHub Warnungen senden.
-
GitHub sendet E-Mail-Warnungen zu den Repository-Administratoren und den Organisations-Inhabern.
-
GitHub zeigt eine Warnung im Repository an. Weitere Informationen findest Du unter „Warnungen von secret scanning verwalten."
GitHub durchsucht derzeit private Repositorys nach Geheimnissen, die von den folgenden Dienstanbietern veröffentlicht wurden.
- Adafruit
- Alibaba Cloud
- Amazon Web Services (AWS)
- Atlassian
- Azure
- Clojars
- CloudBees CodeShip
- Databricks
- Discord
- Dropbox
- Dynatrace
- Finicity
- Frame.io
- GitHub
- GoCardless
- Google Cloud
- Hashicorp Terraform
- Hubspot
- Mailchimp
- Mailgun
- npm
- NuGet
- Palantir
- Postman
- Proctorio
- Pulumi
- Samsara
- Shopify
- Slack
- SSLMate
- Stripe
- Tencent Cloud
- Twilio
Hinweis: Secret scanning erlaubt es Dir derzeit nicht, Deine eigenen Muster zur Erkennung von Geheimnissen zu definieren.