Lösen von Warnungen aus der Geheimnisüberprüfung

Nachdem Sie die Details einer Scanbenachrichtigung für geheime Schlüssel überprüft haben, sollten Sie sich um die Warnung kümmern und sie dann schließen.

Wer kann dieses Feature verwenden?

People with admin access to a public repository can dismiss secret scanning alerts for the repository.

Secret scanning alerts for partners runs automatically on public repositories and public npm packages to notify service providers about leaked secrets on GitHub.

Secret scanning alerts for users are available for public repositories for free. Organizations using GitHub Enterprise Cloud with a license for GitHub Advanced Security can also enable secret scanning alerts for users on their private and internal repositories. For more information, see "About secret scanning alerts" and "About GitHub Advanced Security."

For information about how you can try GitHub Enterprise with GitHub Advanced Security for free, see "Setting up a trial of GitHub Enterprise Cloud" and "Setting up a trial of GitHub Advanced Security" in the GitHub Enterprise Cloud documentation.

In diesem Artikel

Behandeln von Warnungen

Sobald ein Geheimnis an ein Repository übergeben wurde, solltest du das Geheimnis als kompromittiert betrachten. GitHub empfiehlt die folgenden Aktionen für kompromittierte Geheimnisse:

  • Lösche bei einem kompromittierten persönlichen Zugriffstoken für GitHub personal access token das kompromittierte Token, erstelle ein neues Token und aktualisiere alle Dienste, die das alte Token verwenden. Weitere Informationen finden Sie unter Verwalten deiner persönlichen Zugriffstoken.
  • Für alle anderen Geheimnisse überprüfe zuerst, dass das per Commit an GitHub übergebene Geheimnis gültig ist. Wenn dies der Fall ist, erstelle ein neues Geheimnis, aktualisiere alle Dienste, die das alte Geheimnis verwenden, und lösche dann das alte Geheimnis.

Note

Wenn ein Geheimnis in einem öffentlichen Repository auf GitHub.com erkannt wird und das Geheimnis auch einem Partnermuster entspricht, wird eine Warnung generiert, und das potenzielle Geheimnis wird dem Dienstanbieter gemeldet. Details zu Partnermustern finden Sie unter Unterstützte Scanmuster für geheime Schlüssel.

Schließen von Warnungen

Note

Secret scanning schließt Warnungen nicht automatisch, wenn das entsprechende Token aus dem Repository entfernt wurde. Sie müssen diese Warnungen manuell in der Warnungsliste auf GitHub schließen.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicken Sie auf der linken Randleiste unter „Sicherheitsrisikowarnungen“ auf Secret scanning .

  4. Klicken Sie unter „Secret scanning“ auf die Warnung, die Sie anzeigen möchten.

  5. Um eine Warnung zu schließen, wählen Sie das Dropdownmenü „Schließen als“ aus, und klicken Sie auf einen Grund zum Beheben einer Warnung.

    Screenshot einer secret scanning-Warnung. Ein Dropdownmenü mit dem Titel „Schließen als“ wird angezeigt und ist in dunklem Orange eingerahmt.

  6. Fügen Sie optional im Feld „Kommentar“ einen Kommentar zum Schließen der Warnung hinzu. Der Kommentar zum Schließen wird der Zeitleiste der Warnung hinzugefügt und kann bei Prüfungen und Berichterstellungen als Begründung verwendet werden. Du kannst den Verlauf aller geschlossenen Warnungen und zugehörigen Kommentare in der Zeitachse der Warnungen einsehen. Du kannst auch mithilfe der Secret scanning-API einen Kommentar abrufen oder festlegen. Der Kommentar ist im Feld resolution_comment enthalten. Weitere Informationen finden Sie in der REST-API-Dokumentation unter REST-API-Endpunkte für die Geheimnisüberprüfung.

  7. Klicke auf Warnung schließen.

Nächste Schritte