Informationen zum geheimen Scannen für Partner

Wenn secret scanning Authentifizierungsdetails für einen Dienstanbieter in einem öffentlichen Repository GitHuberkannt werden, wird eine Warnung direkt an den Anbieter gesendet. Auf diese Weise können Dienstanbieter, die Partner sind GitHub , umgehend Maßnahmen ergreifen, um ihre Systeme zu sichern.

Wer kann dieses Feature verwenden?

Warnungen zur Geheimnisüberprüfung für Partner wird standardmäßig in den folgenden Repositorys ausgeführt:

  • Öffentliche Repositorys und öffentliche npm-Pakete auf GitHub

In diesem Artikel

Informationen zum Warnungen zur Geheimnisüberprüfung für Partner

          GitHub überprüft öffentliche Repositorys und öffentliche npm-Pakete auf Geheimschlüssel, die von bestimmten Dienstanbietern ausgestellt wurden, die unserem Partnerschaftsprogramm beigetreten sind, und benachrichtigt den entsprechenden Dienstanbieter, wenn ein Geheimer Schlüssel in einem Commit erkannt wird. Der Dienstanbieter überprüft die Zeichenfolge und entscheidet dann, ob er das Geheimnis widerrufen, ein neues Geheimnis ausstellen oder sich direkt an dich wenden soll. Die Maßnahmen hängen von den Risiken ab, die für dich oder sie bestehen.

Informationen zu unserem Partnerprogramm findest du unter Partnerprogramm für die Geheimnisüberprüfung.

Hinweis

Sie können die Konfiguration von secret scanning für Partnermuster in öffentlichen Repositories nicht ändern.

          Warnungen zur Geheimnisüberprüfung für Partner Scans:
  • Beschreibungen und Kommentare in Problemen
  • Titel, Beschreibungen und Kommentare in offenen und geschlossenen historischen Angelegenheiten
  • Titel, Beschreibungen und Kommentaren in Pull Requests
  • Titel, Beschreibungen und Kommentare in GitHub Discussions
  • Wikis
  • Geheime Gists

Der Grund, warum Partnerbenachrichtigungen direkt an Authentifizierungskomponenten gesendet werden, wenn ein Leck für einen ihrer geheimen Schlüssel erkannt wird, besteht darin, dass der Anbieter sofortige Maßnahmen ergreifen kann, um Sie und ihre Ressourcen zu schützen. Der Benachrichtigungsprozess für normale Warnungen ist anders. Regelmäßige Warnungen werden auf der Registerkarte Security and quality des Repositorys GitHub angezeigt, damit Sie diese lösen können.

Wenn der Zugriff auf eine Ressource gekoppelte Anmeldeinformationen erfordert, löst die Überprüfung des Geheimnisses nur dann eine Warnung aus, wenn beide Teile der Kopplung in derselben Datei erkannt werden. So wird sichergestellt, dass die wichtigsten Lecks nicht hinter Informationen über partielle Lecks versteckt bleiben. Der Paarabgleich hilft auch dabei, falsch positive Ergebnisse zu reduzieren, da beide Elemente eines Paares zusammen verwendet werden müssen, um auf die Ressource des Anbieters zuzugreifen.

Welche Geheimnisse werden unterstützt?

Weitere Informationen über Geheimnisse und Dienstanbieter, für die der Pushschutz unterstützt wird, finden Sie unter Unterstützte Scanmuster für Secrets.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/secret-scanning/introduction/about-secret-scanning)

  •         [AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns)

  •         [AUTOTITLE](/code-security/secret-scanning/secret-scanning-partnership-program/secret-scanning-partner-program)