Ausschließen von Ordnern und Dateien von der Geheimnisüberprüfung

Sie können secret scanning anpassen, um Verzeichnisse oder Dateien aus der Analyse auszuschließen, indem Sie eine secret_scanning.yml Datei in Ihrem Repository konfigurieren.

Wer kann dieses Feature verwenden?

Secret scanning ist für unternehmenseigene Repositories und in der Beta-Version für benutzereigene Repositories in GitHub Enterprise Server verfügbar, wenn Ihr Unternehmen eine Lizenz für GitHub Advanced Security besitzt. Weitere Informationen findest du unter Informationen zu Warnungen zur Geheimnisüberprüfung und Informationen zu GitHub Advanced Security.

In diesem Artikel

Informationen zu secret scanning

Secret scanning erkennt automatisch Token oder Anmeldeinformationen, die in ein Repository eingecheckt wurden. Sie können alerts für alle Geheimnisse anzeigen, die GitHub in Ihrem Code findet, auf der Registerkarte Sicherheit des Repositorys, damit Sie wissen, welche Token oder Anmeldeinformationen als kompromittiert behandelt werden sollen.{ % data reusables.secret-scanning.alert-type-links %}

Info zum Ausschließen von Verzeichnissen aus Geheimnisüberprüfung

Möglicherweise haben Sie einen Grund, ein Geheimnis in ein Repository zu übernehmen, z. B. wenn Sie in der Dokumentation ein gefälschtes Geheimnis bereitstellen möchten, oder in einer Beispielanwendung. In diesen Szenarien können Sie die Warnung schnell schließen und die Gründe dokumentieren. Es kann jedoch Vorkommen geben, in denen Sie ein Verzeichnis vollständig ignorieren möchten, um zu vermeiden, dass falsch positive Warnungen im großen Stil erstellt werden. Sie können beispielsweise eine monolithische Anwendung mit mehreren Integrationen haben, die eine Datei mit Dummyschlüsseln enthalten, die zahlreiche falsche Warnungen für die Triage festlegen könnten.

Sie können eine Datei secret_scanning.yml konfigurieren, um Verzeichnisse von der secret scanning auszuschließen, auch wenn Sie den Pushschutz verwenden.

Ausschließen von Verzeichnissen aus Geheimnisüberprüfung

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Wähle über der Dateiliste das Dropdownmenü Datei hinzufügen aus, und klicke dann auf Neue Datei erstellen.

    Alternativ kannst du in der Dateistrukturansicht links auf klicken.

    Screenshot der Hauptseite eines Repositorys. Oberhalb der Dateiliste ist eine Schaltfläche mit der Bezeichnung „Datei hinzufügen“ dunkelorange umrandet. In der Dateistrukturansicht des Repositorys ist eine Schaltfläche mit einem Pluszeichensymbol ebenfalls dunkelorange hervorgehoben.

  3. Geben Sie im Dateinamenfeld „.github/secret_scanning.yml“ ein.

  4. Gib unter Neue Datei bearbeiten paths-ignore: gefolgt von den Pfaden ein, die du aus secret scanning ausschließen möchtest.

    YAML
    paths-ignore:
  - "docs/**"

    Dadurch wird secret scanning aufgefordert, alle Elemente im docs Verzeichnis zu ignorieren. Sie können diese Beispieldatei als Vorlage verwenden, um die Dateien und Ordner hinzuzufügen, die Sie aus Ihren eigenen Repositorys ausschließen möchten.

    Sie können auch Sonderzeichen verwenden, z. B. * zum Filtern von Pfaden. Weitere Informationen zu Filtermustern findest du unter Workflowsyntax für GitHub Actions.

    YAML
    paths-ignore:
  - "foo/bar/*.js"

    Hinweise:

    • Wenn mehr als 1.000 Einträge in paths-ignore vorhanden sind, schließt secret scanning nur die ersten 1.000 Verzeichnisse von der Überprüfung aus.
    • Wenn secret_scanning.yml größer als 1 MB ist, ignoriert secret scanning die gesamte Datei.

Überprüfen, ob der Ordner von secret scanning ausgeschlossen ist

  1. Öffnen einer Datei in einem Verzeichnis, das Sie von der Geheimnisüberprüfung ausgeschlossen haben
  2. Fügen Sie ein vordefiniertes Geheimnis oder ein Testgeheimnis ein.
  3. Führe für die Änderung einen Commit aus.
  4. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
  5. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.
    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.
    Es sollten keine neuen offenen Warnungen für das Geheimnis vorhanden sein, das Sie gerade in die Datei eingeführt haben.

Bewährte Methoden

Zu den bewährten Methoden gehören:

  • Minimierung der Anzahl der ausgeschlossenen Verzeichnisse und so präzise wie möglich beim Definieren von Ausschlüssen. Dadurch wird sichergestellt, dass die Anweisungen so klar wie möglich sind und dass Ausschlüsse wie vorgesehen funktionieren.
  • Erläutern, warum eine bestimmte Datei oder ein bestimmter Ordner in einem Kommentar in der secret_scanning.yml Datei ausgeschlossen wird. Wie bei normalem Code verdeutlicht die Verwendung von Kommentaren Ihre Absicht und erleichtert es anderen, das gewünschte Verhalten zu verstehen.
  • Regelmäßiges Überprüfen der secret_scanning.yml Datei. Einige Ausschlüsse gelten möglicherweise nicht mehr mit der Zeit, und es empfiehlt sich, die Datei sauber und aktuell zu halten. Die Verwendung von Kommentaren, wie oben beschrieben, kann Ihnen dabei helfen.
  • Informieren Sie das Sicherheitsteam darüber, welche Dateien und Ordner Sie ausgeschlossen haben und warum. Eine gute Kommunikation ist wichtig, um sicherzustellen, dass alle auf demselben Stand sind und verstehen, warum bestimmte Ordner oder Dateien ausgeschlossen werden.