Erkennungsbereich für Secret-Scanning

Das Geheimnis-Scannen verwendet Musterabgleich und Validierung, um Geheimnisse zu erkennen. Die Erkennung variiert je nach Musterpaaren, Tokentypen und Pushschutzeinstellungen.

Wer kann dieses Feature verwenden?

Secret scanning ist für die folgenden Repositorytypen verfügbar:

  • Öffentliche Repositorys: Secret scanning werden automatisch kostenlos ausgeführt.
  • Organisationseigene private und interne Repositories: Verfügbar mit GitHub Secret Protection aktiviert in GitHub Team oder GitHub Enterprise Cloud.
  • Benutzereigene Repositories: Verfügbar auf GitHub Enterprise Cloud mit Enterprise Managed Users. Verfügbar auf GitHub Enterprise Server, wenn das Unternehmen GitHub Secret Protection aktiviert hat.

In diesem Artikel

Erkennung von Musterpaaren

Secret scanning erkennt nur Musterpaare, z. B. AWS Access Keys und Secrets, wenn die ID und der geheime Schlüssel in derselben Datei gefunden werden und beide an das Repository übertragen werden. Der Paarabgleich hilft dabei, falsch positive Ergebnisse zu reduzieren, da beide Elemente eines Paares (die ID und das Geheimnis) zusammen verwendet werden müssen, um auf die Ressource des Anbieters zuzugreifen.

Paare, die in verschiedene Dateien oder nicht in dasselbe Repository gepusht werden, führen nicht zu Warnungen. Weitere Informationen zu den unterstützten Musterpaaren finden Sie in der Tabelle unter Unterstützte Scanmuster für Secrets.

Informationen zu GitHub-Legacytoken

Bei GitHub Token überprüfen wir die Gültigkeit des geheimen Schlüssels, um festzustellen, ob der geheime Schlüssel aktiv oder inaktiv ist. Dies bedeutet, dass secret scanning bei Legacy-Token ein GitHub Enterprise Serverpersonal access token auf GitHub Enterprise Cloud nicht erkennt. Ebenso wird ein GitHub Enterprise Cloudpersonal access token Fehler auf GitHub Enterprise Server nicht gefunden werden.

Pushschutzbeschränkungen

Wenn der Pushschutz ein Geheimnis nicht erkannt hat, das deiner Meinung nach erkannt werden sollte, solltest du zuerst überprüfen, ob der Pushschutz den Geheimnistyp in der Liste der unterstützten Geheimnisse enthält. Weitere Informationen finden Sie unter Unterstützte Scanmuster für Secrets.

Wenn dein Geheimnis in der Liste enthalten ist, kann es verschiedene Gründe geben, warum der Pushschutz es nicht erkennt.

  • Der Pushschutz blockiert durchgesickerte Geheimnisse nur für eine Teilmenge der bekanntesten Benutzerwarnungsmuster. Mitwirkende können sicherheitsrelevanten Schutzmechanismen vertrauen, wenn solche Geheimnisse blockiert werden, da es sich um die Muster handelt, die die niedrigste Anzahl falsch positiver Ergebnisse aufweisen.
  • Die Version deines Geheimnisses ist möglicherweise veraltet. Ältere Versionen bestimmter Token werden möglicherweise nicht vom Pushschutz unterstützt, da diese Token mehr falsch positive Ergebnisse generieren könnten als die neueste Version. Der Pushschutz gilt möglicherweise auch nicht für Legacytoken. Für Token wie Azure Storage-Schlüssel unterstützt GitHub nur kürzlich erstellte Token, also keine Token, die den Legacymustern entsprechen.
  • Der Push kann beispielsweise zu groß sein, wenn du versuchst, Tausende von großen Dateien zu pushen. Wenn der Push zu groß ist, kann beim Pushschutzscan ein Timeout auftreten, wodurch eine Benutzerin nicht blockiert wird. GitHub scannt auch nach dem Push weiterhin und erstellt bei Bedarf Warnungen.
  • Wenn der Push zur Erkennung von mehr als fünf neuen Geheimnissen führt, werden maximal die ersten fünf angezeigt.
  • Wenn ein Push mehr als 1.000 bekannte Geheimnisse enthält (d. h. Geheimnisse, für die bereits Warnungen erstellt wurden), blockiert der Pushschutz den Push nicht.
  • Wenn ein Push in einem öffentlichen Repository größer als 50 MB ist, überspringt der Pushschutz ihn und scannt es nicht.
  • Wenn eine Umgehungsanforderung ohne Commit- oder Dateipfaddetails angezeigt wird, war für den Pushschutz eine Zeitüberschreitung aufgetreten ist. Der Push war zu groß oder der Verlauf zu komplex, um den Commit zu finden, der das Geheimnis eingeführt hat.