Über das Auswerten von Warnungen
Es gibt einige zusätzliche Features, mit denen Sie Warnungen auswerten können, um sie besser zu priorisieren und zu verwalten. Sie haben folgende Möglichkeiten:
- Überprüfen Sie die Gültigkeit eines Geheimnisses, um festzustellen, ob das Geheimnis noch aktiv ist. Siehe Überprüfen der Gültigkeit eines geheimen Schlüssels.
- Führen Sie eine „On-Demand“-Gültigkeitsprüfung durch, um den aktuellen Gültigkeitsstatus zu erhalten. Siehe Ausführen einer On-Demand-Gültigkeitsprüfung.
- Überprüfen Sie die Metadaten eines Tokens. Gilt nur für GitHub Token. Um beispielsweise zu sehen, wann das Token zuletzt verwendet wurde. Siehe Überprüfen von GitHub Tokenmetadaten.
Überprüfen der Gültigkeit eines Geheimnisses
Gültigkeitsprüfungen helfen Ihnen, Warnungen zu priorisieren, indem Sie ihnen mitteilen, welche Geheimnisse active oder inactive sind. Ein active-Geheimnis kann weiterhin ausgenutzt werden, sodass diese Warnungen als Priorität überprüft und behoben werden sollten.
Standardmäßig überprüft GitHub die Gültigkeit von GitHub-Token und zeigt den Validierungsstatus des Tokens in der Warnungsansicht an.
Organisationen, die GitHub Team, GitHub Enterprise Cloud mit einer Lizenz für GitHub Secret Protection oder GitHub Enterprise Server mit einer Lizenz für GitHub Secret Protection verwenden, können auch Gültigkeitsprüfungen für Partnermuster aktivieren. Weitere Informationen finden Sie unter Überprüfen der Gültigkeit eines geheimen Schlüssels.
| Gültigkeitsdauer | Status | Ergebnis |
|---|---|---|
| Aktives Geheimnis | active | GitHub hat beim Anbieter dieses Geheimnisses nachgefragt und ermittelt, dass dieses Geheimnis aktiv ist. |
| Möglicherweise aktives Geheimnis | unknown | GitHub bietet noch keine Gültigkeitsüberprüfungen für diesen Tokentyp. |
| Möglicherweise aktives Geheimnis | unknown | GitHub konnte dieses Geheimnis nicht überprüfen. |
| Geheimnis inaktiv | inactive | Du solltest sicherstellen, dass noch kein unautorisierter Zugriff erfolgt ist. |
Gültigkeitsprüfungen für Partnermuster sind für die folgenden Repositorytypen verfügbar:
- Organisationseigene Repositories auf GitHub Enterprise Server mit GitHub Secret Protection aktiviert
Informationen zum Aktivieren von Gültigkeitsprüfungen für Partnermuster finden Sie unter Aktivieren von Gültigkeitsprüfungen für dein Repository und informationen dazu, welche Partnermuster derzeit unterstützt werden, finden Sie unter Unterstützte Scanmuster für Secrets.
Sie können Gültigkeitsprüfungen für Partnermuster mithilfe von Sicherheitskonfigurationen aktivieren, die entweder auf Unternehmens- oder Organisationsebene festgelegt sind. Siehe Erstellung einer angepassten Sicherheitskonfiguration für dein Unternehmen und Erstellen einer benutzerdefinierten Sicherheitskonfiguration.
Informationen dazu, welche Partnermuster derzeit unterstützt werden, finden Sie unter Unterstützte Scanmuster für Secrets.
Sie können die REST-API verwenden, um eine Liste des neuesten Überprüfungsstatus für jedes Ihrer Token abzurufen. Weitere Informationen findest du in der Dokumentation zur REST-API unter REST-API-Endpunkte für das Secret Scanning. Sie können webhooks auch verwenden, um über Aktivitäten im Zusammenhang mit einer secret scanning Warnung benachrichtigt zu werden. Weitere Informationen findest du im Abschnitt zum secret_scanning_alert-Ereignis unter Webhook-Ereignisse und Webhook-Nutzlasten.
Durchführen einer On-Demand-Gültigkeitsprüfung
Nachdem Sie Gültigkeitsprüfungen für Partnermuster für Ihr Repository aktiviert haben, können Sie eine "On-Demand"-Gültigkeitsprüfung für jeden unterstützten geheimen Schlüssel ausführen, indem Sie in der Warnungsansicht auf "Geheime Schlüssel überprüfen" klicken. GitHub sendet das Muster an den relevanten Partner und zeigt den Überprüfungsstatus des geheimen Schlüssels in der Warnungsansicht an.
Überprüfung von GitHub Token-Metadaten
Hinweis
Die Metadaten für GitHub-Token sind derzeit in Öffentliche Vorschau und unterliegen Änderungen.
In der Ansicht für eine aktive GitHub Tokenwarnung können Sie bestimmte Metadaten zum Token überprüfen. Diese Metadaten können dir helfen, das Token zu identifizieren und zu entscheiden, welche Korrekturschritte ausgeführt werden sollen.
Token, wie personal access token und andere Anmeldeinformationen, werden als persönliche Informationen betrachtet. Weitere Informationen zur Verwendung von GitHub-Token finden Sie in den Datenschutzbestimmungen GitHub und Acceptable Use Policies.
Metadaten für GitHub Token sind für aktive Token in jedem Repository mit aktivierter geheimer Überprüfung verfügbar. Wenn ein Token widerrufen wurde oder sein Status nicht überprüft werden kann, sind keine Metadaten verfügbar. GitHub widerruft GitHub die Token in öffentlichen Repositories automatisch, sodass Metadaten für GitHub Token in öffentlichen Repositories voraussichtlich nicht verfügbar sind. Die folgenden Metadaten sind für aktive GitHub Token verfügbar:
| Metadaten | Description |
|---|---|
| Geheimer Name | Der Name, der dem GitHub Token vom Ersteller zugewiesen wird |
| Geheimnisbesitzer*in | Die GitHub Kennung des Token-Besitzers |
| Erstellt am | Erstellungsdatum des Tokens |
| Abgelaufen am | Ablaufdatum des Tokens |
| Zuletzt verwendet am | Datum der letzten Verwendung des Tokens |
| Zugang | Gibt an, ob das Token über Organisationszugriff verfügt |
Nur Personen mit Admin-Berechtigungen für das Repository, das ein durchgesickertes Geheimnis enthält, können die Details einer Sicherheitsmeldung und die Token-Metadaten für eine Warnung einsehen. Unternehmensbesitzer können für diesen Zweck temporären Zugriff auf das Repository anfordern. Wenn der Zugriff gewährt wird, GitHub benachrichtigen Sie den Besitzer des Repositorys, das den geleckten geheimen Schlüssel enthält, melden Sie die Aktion im Repositorybesitzer und in den Unternehmensüberwachungsprotokollen, und aktivieren Sie den Zugriff für 2 Stunden.