Gültigkeitsprüfungen

Gültigkeitsprüfungen und erweiterte Metadatenüberprüfungen helfen Ihnen bei der Priorisierung der Behebung von offengelegten Anmeldeinformationen, die sofortige Sicherheitsrisiken darstellen.

Wer kann dieses Feature verwenden?

Secret scanning ist für die folgenden Repositorytypen verfügbar:

  • Öffentliche Repositorys: Secret scanning werden automatisch kostenlos ausgeführt.
  • Organisationseigene private und interne Repositories: Verfügbar mit GitHub Secret Protection aktiviert in GitHub Team oder GitHub Enterprise Cloud.
  • Benutzereigene Repositories: Verfügbar auf GitHub Enterprise Cloud mit Enterprise Managed Users. Verfügbar auf GitHub Enterprise Server, wenn das Unternehmen GitHub Secret Protection aktiviert hat.

Ausführen einer Sicherheitsrisikobewertung

In diesem Artikel

Informationen zu Gültigkeitsprüfungen

Gültigkeitsprüfungen, ein Feature von secret scanning, überprüfen, ob ein erkannter Geheimschlüssel noch aktiv ist und ausgenutzt werden kann. Auf diese Weise können Sie die Korrektur priorisieren, indem Sie sich zuerst auf Geheimnisse konzentrieren, die als aktiv bestätigt wurden.

Sie können automatische Gültigkeitsprüfungen für erkannte geheime Schlüssel aktivieren. Sobald GitHub aktiviert ist, wird regelmäßig die Gültigkeit einer erkannten Anmeldeinformation überprüft, indem das Geheimnis an den Aussteller gesendet und über die von diesem Dienst bereitgestellten APIs geprüft wird. Gültigkeitsprüfungen sind für Secrets vieler Dienstanbieter verfügbar, und die Unterstützung wird kontinuierlich erweitert, da GitHub mit zusätzlichen Diensten zusammenarbeitet.

GitHub priorisiert den Datenschutz bei der Überprüfung der Gültigkeit der Anmeldeinformationen. In der Regel stellen wir GET-Anforderungen, wählen die am wenigsten intrusiven Endpunkte und wählen Endpunkte aus, die keine persönlichen Informationen zurückgeben.

GitHub zeigt den Überprüfungsstatus des geheimen Schlüssels in der Warnungsansicht an, sodass Sie sehen können, ob der geheime Schlüssel ist active, inactiveoder ob der Überprüfungsstatus lautet unknown. Optional können Sie eine "On-Demand"-Gültigkeitsprüfung für den geheimen Schlüssel in der Warnungsansicht durchführen.

Informationen zu erweiterten Metadatenüberprüfungen

Hinweis

Erweiterte Metadatenüberprüfungen in Sicherheitskonfigurationen befinden sich derzeit in der öffentlichen Vorschau und können geändert werden.

Erweiterte Überprüfungen der Metadaten liefern zusätzliche kontextbezogene Informationen über erkannte Geheimnisse. Sie werden häufig als Analysegeräte in anderen Tools bezeichnet.

Sie können erweiterte Metadatenüberprüfungen aktivieren, wenn Gültigkeitsprüfungen aktiviert sind. Anschließend erhalten Sie Informationen, die Ihnen helfen:

  • Gewinnen Sie tiefere Einblicke in erkannte Geheimnisse: Wissen Sie, wer ein Geheimnis besitzt.
  • Priorisieren Sie die Korrektur: Verstehen sie den Umfang und die Auswirkungen der einzelnen verfügbar gemachten Geheimschlüssel.
  • Verbessern Sie die Reaktion auf Vorfälle: Identifizieren Sie verantwortliche Teams oder Einzelpersonen schnell, wenn ein Geheimnis durchgesickert ist.
  • Verbessern Sie die Einhaltung der Vorschriften: Stellen Sie sicher, dass Geheimnisse den Governance- und Sicherheitsrichtlinien Ihrer Organisation entsprechen.
  • Reduzieren Sie falsch positive Ergebnisse: Verwenden Sie zusätzlichen Kontext, um festzustellen, ob eine Erkennung eine Aktion erfordert.

Welche Metadaten konkret verfügbar sind, hängt davon ab, was der Dienstanbieter mit GitHub teilt. Nicht alle geheimen Typen unterstützen erweiterte Metadatenüberprüfungen. Weitere Informationen findest du unter Bewerten von Warnungen aus dem Secret-Scanning.

Erste Schritte mit Gültigkeits- und erweiterten Metadatenüberprüfungen

Sie können Gültigkeits- und erweiterte Metadatenüberprüfungen auf Repository-, Organisations- oder Unternehmensebene aktivieren, um zu priorisieren, welche offengelegten Anmeldeinformationen die unmittelbarsten Sicherheitsrisiken darstellen.

Für große Organisationen empfehlen wir die Verwendung von Sicherheitskonfigurationen , um diese Features auf Organisation oder Unternehmensebene zu aktivieren. Mit Sicherheitskonfigurationen können Sie Einstellungen zentral verwalten secret scanning und auf viele Repositorys einheitlich anwenden.

Um loszulegen: