Überwachen von Warnungen aus der Geheimnisüberprüfung

Erfahren Sie, wie und wann GitHub Sie über eine Warnung eines Geheimnis-Scans benachrichtigt.

Wer kann dieses Feature verwenden?

Secret scanning alerts for partners runs automatically on public repositories and public npm packages to notify service providers about leaked secrets on GitHub.

Secret scanning alerts for users are available for public repositories for free. Organizations using GitHub Enterprise Cloud with a license for GitHub Advanced Security can also enable secret scanning alerts for users on their private and internal repositories. For more information, see "About secret scanning alerts" and "About GitHub Advanced Security."

For information about how you can try GitHub Enterprise with GitHub Advanced Security for free, see "Setting up a trial of GitHub Enterprise Cloud" and "Setting up a trial of GitHub Advanced Security" in the GitHub Enterprise Cloud documentation.

In diesem Artikel

Konfigurieren von Benachrichtigungen für Warnungen zur Geheimnisüberprüfung

Zusätzlich zur Anzeige einer Warnung auf der Registerkarte Sicherheit des Repositorys kann GitHub auch E-Mail-Benachrichtigungen für Warnungen senden. Diese Benachrichtigungen sehen bei inkrementellen Überprüfungen und verlaufsbezogenen Überprüfungen anders aus.

Inkrementelle Überprüfung

Wenn ein neues Geheimnis erkannt wird, benachrichtigt GitHub alle Benutzer mit Zugriff auf Sicherheitswarnungen für das Repository entsprechend ihren Benachrichtigungseinstellungen. Zu diesen Benutzer gehören Folgenden:

  • Repositoryadministratoren
  • Sicherheitsmanager
  • Benutzer*innen mit benutzerdefinierten Rollen mit Lese-/Schreibzugriff
  • Organisationsbesitzerinnen und Unternehmensbesitzerinnen, wenn sie Administrator*innen von Repositorys sind, in denen Geheimnisse geleakt wurden

Note

Autoren, die versehentlich Geheimnisse committed haben, werden unabhängig von ihren Benachrichtigungseinstellungen benachrichtigt.

Du erhältst in folgenden Fällen eine E-Mail-Benachrichtigung:

  • Du überwachst das Repository.
  • Du hast Benachrichtigungen für „Jede Aktivität“ oder für benutzerdefinierte „Sicherheitswarnungen“ für das Repository aktiviert.
  • Du hast in deinen Benachrichtigungseinstellungen unter „Abonnements“ und dann unter „Überwachung“ ausgewählt, dass du Benachrichtigungen per E-Mail erhalten möchtest.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Um mit der Überwachung des Repositorys zu beginnen, wähle Überwachen aus.

    Screenshot der Hauptseite des Repositorys. Ein Dropdownmenü mit dem Titel „Überwachen“ ist in dunklem Orange eingerahmt.

  3. Klicke im Dropdownmenü auf Jede Aktivität. Um nur Sicherheitswarnungen zu abonnieren, klicke alternativ auf Benutzerdefiniert und dann auf Sicherheitswarnungen.

  4. Navigiere zu den Benachrichtigungseinstellungen für dein persönliches Konto. Diese sind unter https://github.com/settings/notifications verfügbar.

  5. Wähle auf der Seite mit den Benachrichtigungseinstellungen unter „Abonnements“ und dann unter „Beobachten“ die Dropdownliste Mich benachrichtigen aus.

  6. Wähle „E-Mail“ als Benachrichtigungsoption aus, und klicke dann auf Speichern.

    Screenshot der Benachrichtigungseinstellungen für ein Benutzerkonto. Es werden eine Elementüberschrift mit dem Titel „Abonnements“ und eine Unterüberschrift mit dem Titel „Überwachung“ angezeigt. Ein Kontrollkästchen mit dem Titel „E-Mail“ ist mit einem orangefarbenen Rahmen hervorgehoben.

Weitere Informationen zum Einrichten der Benachrichtigungseinstellungen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Konfigurieren von Überwachungseinstellungen für ein einzelnes Repository.

Verlaufsbezogene Überprüfungen

Bei verlaufsbezogenen Überprüfungen benachrichtigt GitHub die folgenden Benutzer*innen:

  • Organisationsbesitzerinnen, Unternehmensbesitzerinnen und Sicherheitsmanager – immer dann, wenn eine verlaufsbezogene Überprüfen abgeschlossen ist, auch wenn keine Geheimnisse gefunden werden
  • Repositoryadministratorinnen, Sicherheitsmanager und Benutzerinnen mit benutzerdefinierten Rollen mit Lese-/Schreibzugriff – immer dann, wenn bei einer verlaufsbezogenen Überprüfung ein Geheimnis erkannt wird, und entsprechend ihren Benachrichtigungseinstellungen

Commitautoren werden nicht benachrichtigt.

Weitere Informationen zum Einrichten der Benachrichtigungseinstellungen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Konfigurieren von Überwachungseinstellungen für ein einzelnes Repository.

Überwachungsantworten auf Warnungen zur Geheimnisüberprüfung

Du kannst die Aktionen, die als Reaktion auf secret scanning-Warnungen ergriffen wurden, mit GitHub-Tools überprüfen. Weitere Informationen findest du unter Prüfen von Sicherheitswarnungen.