Konfigurieren der Geheimnisüberprüfung für deine Repositorys

In diesem Artikel

Du kannst konfigurieren, wie GitHub deine Repositorys nach kompromittierten Geheimnissen durchsucht und Warnungen generiert.

Wer kann dieses Feature verwenden?

People with admin permissions to a public repository can enable secret scanning for the repository.

Warnungen zur Geheimnisüberprüfung für Partner wird automatisch in öffentlichen Repositorys und öffentlichen npm-Paketen ausgeführt, um Dienstanbieter über kompromittierte Geheimnisse auf GitHub.com zu informieren.

Warnungen zur Geheimnisüberprüfung für Benutzerinnen sind in allen öffentlichen Repositorys kostenlos verfügbar. Organisationen, die GitHub Enterprise Cloud mit einer Lizenz für GitHub Advanced Security verwenden, können Warnungen zur Geheimnisüberprüfung für Benutzerinnen für ihre privaten und internen Repositorys aktivieren. Weitere Informationen findest du unter Informationen zur Geheimnisüberprüfung und Informationen zu GitHub Advanced Security.

Aktivieren von Warnungen zur Geheimnisüberprüfung für Benutzer*innen

Du kannst Warnungen zur Geheimnisüberprüfung für Benutzer*innen für jedes kostenlose öffentliche Repository befindet, deren Besitzer du bist. Nach der Aktivierung secret scanning sucht in Ihrem gesamten Git-Verlauf auf allen Branches, die in Ihrem GitHub-Repository vorhanden sind, nach Geheimnissen. Secret scanning sucht auch nach Problembeschreibungen und Kommentaren für Geheimnisse.

Du kannst secret scanning auch für mehrere Repositorys in einer Organisation gleichzeitig aktivieren. Weitere Informationen findest du unter Schützen deiner Organisation.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Scrolle zum unteren Rand der Seite, und klicke für secret scanning auf Aktivieren. Wenn die Schaltfläche Deaktivieren angezeigt wird, ist secret scanning bereits für das Repository aktiviert.

    Screenshot des Abschnitts „Secret scanning“ auf der Seite „Codesicherheit und -analyse“, mit dunkelorange umrandeter Schaltfläche „Aktivieren“.

  5. Wenn du außerdem den Pushschutz aktivieren möchtest, kannst du rechts neben „Pushschutz“ auf Aktivieren klicken. Wenn Sie den Pushschutz für Ihre Organisation oder Ihr Repository aktivieren, prüft secret scanning auch Pushnachrichten auf Geheimnisse mit hoher Vertrauenswürdigkeit (solche, die mit einer geringen False-Positive-Rate identifiziert wurden). Secret scanning listet alle erkannten Geheimnisse auf, sodass der Autor die Geheimnisse überprüfen und entfernen oder, falls erforderlich, die Weitergabe dieser Geheimnisse per Push erlauben kann. Weitere Informationen findest du unter Pushschutz für Repositorys und Organisationen. Screenshot des Abschnitts Secret scanning. Neben einem eingerückten Element mit der Bezeichnung „Pushschutz“ ist die Schaltfläche „Aktivieren“ dunkelorange umrandet.

Aktivieren von Warnungen zur Geheimnisüberprüfung für Benutzer*innen für alle öffentlichen Repositorys

Du kannst Warnungen zur Geheimnisüberprüfung für Benutzer*innen für alle deine öffentlichen Repositorys über deine persönlichen Kontoeinstellungen aktivieren.

  1. Klicke auf einer beliebigen Seite in der oberen rechten Ecke auf dein Profilfoto und anschließend auf Einstellungen.

    Screenshot of a user's account menu on GitHub. The menu item "Settings" is outlined in dark orange.

  2. Klicke in der Seitenleiste im Abschnitt „Sicherheit“ auf Codesicherheit und -analyse.

  3. Klicke unter „Codesicherheit und -analyse“ rechts von Secret scanning auf Alle deaktivieren oder Alle aktivieren.

    Screenshot der Einstellungsoptionen für „Secret scanning“ auf der Einstellungsseite für persönliche Konten. Die Optionen „Alle aktivieren“ und „Alle deaktivieren“ sind orange umrandet.

  4. Um secret scanning optional automatisch für alle neuen öffentlichen Repositorys zu aktivieren, die du erstellst, aktiviere unter „Secret scanning“ das Kontrollkästchen für „Automatisch für neue öffentliche Repositorys aktivieren“.

    Screenshot der Einstellungsoptionen für „Secret scanning“ auf der Einstellungsseite für persönliche Konten. Die Option „Automatisch für neue öffentliche Repositorys aktivieren“ ist orange umrandet.

Ausschließen von Verzeichnissen aus Warnungen zur Geheimnisüberprüfung für Benutzer*innen

Du kannst eine Datei secret_scanning.yml konfigurieren, um Verzeichnisse von der secret scanning auszuschließen, auch wenn du den Pushschutz verwendest. Beispielsweise kannst du Verzeichnisse ausschließen, welche Tests oder zufällig generierte Inhalte enthalten.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle über der Dateiliste das Dropdownmenü Datei hinzufügen aus, und klicke dann auf Neue Datei erstellen.

    Alternativ kannst du in der Dateistrukturansicht links auf klicken.

    Screenshot der Hauptseite eines Repositorys. Oberhalb der Dateiliste ist eine Schaltfläche mit der Bezeichnung „Datei hinzufügen“ dunkelorange umrandet. In der Dateistrukturansicht des Repositorys ist eine Schaltfläche mit einem Pluszeichensymbol ebenfalls dunkelorange hervorgehoben.

  3. Gib im Dateinamenfeld .github/secret_scanning.yml ein.

  4. Gib unter Neue Datei bearbeiten paths-ignore: gefolgt von den Pfaden ein, die du aus secret scanning ausschließen möchtest.

    paths-ignore:
  - "foo/bar/*.js"

    Du kannst Sonderzeichen verwenden, z. B. * zum Filtern von Pfaden. Weitere Informationen zu Filtermustern findest du unter Workflowsyntax für GitHub Actions.

    Hinweise:

    • Wenn mehr als 1.000 Einträge in paths-ignore vorhanden sind, schließt secret scanning nur die ersten 1.000 Verzeichnisse von der Überprüfung aus.
    • Wenn secret_scanning.yml größer als 1 MB ist, ignoriert secret scanning die gesamte Datei.

Du kannst auch einzelne Warnungen von secret scanning ignorieren. Weitere Informationen findest du unter Verwalten von Warnungen aus der Geheimnisüberprüfung.