Informationen zum Durchsuchen nach Geheimnissen

Wenn Dein Projekt mit einem externen Dienst kommuniziert, verwende allenfalls ein Token oder einen privaten Schlüssel für die Authentifizierung. Token und private Schlüssel sind Beispiele für Geheimnisse, die ein Dienstanbieter ausstellen kann. Wenn Du ein Geheimnis in ein Repository einfügst, kann jedermann mit Lesezugriff auf das Repository das Geheimnis verwenden, um mit Deinen Privilegien auf den externen Dienst zuzugreifen. Wir empfehlen, dass Du Geheimnisse an einem dedizierten, sicheren Ort außerhalb Deines Projekt-Repositorys speicherst.

Wenn jemand ein Geheimnis von einem GitHub-Partner in ein öffentliches oder privates Repository einfügt, dann kann secret scanning das Geheimnis entdecken und Dir helfen, die Auswirkungen des Lecks zu mildern.

Dienstleister können mit GitHub zusammenarbeiten, um ihre geheimen Formate zum Durchsuchen bereitzustellen. Weitere Informationen findest Du unter „Nach Geheimnissen durchsuchen" in die GitHub-Entwicklerdokumentation.

Informationen über secret scanning für öffentliche Repositorys

Wenn Du in ein öffentliches Repository überträgst, wird GitHub den Inhalt des Commit auf Geheimnisse durchsuchen. Wenn Du ein privates Repository auf öffentlich umstellst, wird GitHub das gesamte Repository nach Geheimnissen durchsuchen.

Wenn secret scanning einen Satz von Anmeldeinformationen erkennt, benachrichtigen wir den Dienstanbieter, der das Geheimnis ausgegeben hat. Der Dienstanbieter prüft die Anmeldeinformationen und entscheidet dann, ob er das Geheimnis widerrufen, ein neues Geheimnis ausstellen oder sich direkt an Dich wenden soll, was von den damit verbundenen Risiken für Dich oder den Dienstleister abhängt.

GitHub durchsucht derzeit öffentliche Repositorys nach Geheimnissen, die von den folgenden Dienstanbietern veröffentlicht wurden.

• Adafruit
• Alibaba Cloud
• Amazon Web Services (AWS)
• Atlassian
• Azure
• CloudBees CodeShip
• Databricks
• Datadog
• Discord
• Dropbox
• Dynatrace
• GitHub
• GoCardless
• Google Cloud
• Hashicorp Terraform
• Hubspot
• Mailgun
• npm
• NuGet
• Palantir
• Postman
• Proctorio
• Pulumi
• Samsara
• Slack
• Stripe
• Tencent Cloud
• Twilio

Informationen zu secret scanning für private Repositorys

Wenn Du Commits in ein privates Repository überträgst, das secret scanning aktiviert hat, wird GitHub den Inhalt des Commits nach Geheimnissen durchsuchen.

Wenn secret scanning ein Geheimnis in einem privaten Repository entdeckt, wird GitHub Warnungen senden.

• GitHub sendet E-Mail-Warnungen zu den Repository-Administratoren und den Organisations-Inhabern. Wenn das Geheimnis ein persönliches Zugriffstoken von GitHub ist, werden wir stattdessen die E-Mail-Warnung direkt an den Besitzer des Tokens senden.

• GitHub zeigt eine Warnung im Repository an. Weitere Informationen findest Du unter „Warnungen von secret scanning verwalten."

GitHub durchsucht derzeit private Repositorys nach Geheimnissen, die von den folgenden Dienstanbietern veröffentlicht wurden.

• Adafruit
• Alibaba Cloud
• Amazon Web Services (AWS)
• Atlassian
• Azure
• CloudBees CodeShip
• Databricks
• Discord
• Dropbox
• Dynatrace
• GitHub
• GoCardless
• Google Cloud
• Hashicorp Terraform
• Hubspot
• Mailgun
• npm
• NuGet
• Palantir
• Postman
• Proctorio
• Pulumi
• Samsara
• Slack
• Stripe
• Tencent Cloud
• Twilio

Weiterführende Informationen

• „Ihr Konto und Ihre Daten schützen“