Informationen zu Gültigkeitsprüfungen

Gültigkeitsprüfungen und erweiterte Metadatenüberprüfungen helfen Ihnen bei der Priorisierung der Behebung von offengelegten Anmeldeinformationen, die sofortige Sicherheitsrisiken darstellen.

Wer kann dieses Feature verwenden?

Secret scanning ist für die folgenden Repositorytypen verfügbar:

        **Öffentliche Repositorys**: Secret scanning werden automatisch kostenlos ausgeführt.

        **Organisationseigene private und interne Repositories**: Verfügbar mit [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) aktiviert in GitHub Team oder GitHub Enterprise Cloud.

        **Benutzereigene Repositories**: Verfügbar auf GitHub Enterprise Cloud mit Enterprise Managed Users. Verfügbar auf GitHub Enterprise Server, wenn das Unternehmen [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) aktiviert hat.

Erfahren Sie, wie Sie eine kostenlose vertrauliche Risikobewertung durchführen

In diesem Artikel

Informationen zu Gültigkeitsprüfungen

Gültigkeitsprüfungen, eine Funktion von secret scanning, stellen fest, ob ein erkanntes Geheimnis noch aktiv ist und ausgenutzt werden könnte. Auf diese Weise können Sie die Korrektur priorisieren, indem Sie sich zuerst auf Secrets konzentrieren, die als aktiv bestätigt wurden.

Sie können automatische Gültigkeitsprüfungen für erkannte geheime Schlüssel aktivieren. Nach der Aktivierung überprüft GitHub regelmäßig die Gültigkeit einer erkannten Anmeldeinformationen, indem der Geheimschlüssel an den Aussteller gesendet und anhand von APIs getestet wird, die von diesem Dienst bereitgestellt werden. Gültigkeitsprüfungen stehen für Geheimnisse von vielen Dienstanbietern zur Verfügung, und der Support wird weiterhin erweitert, während GitHub mit zusätzlichen Diensten Partnerschaften eingeht.

GitHub priorisiert den Datenschutz bei der Überprüfung der Gültigkeit der Zugangsdaten. In der Regel stellen wir GET-Anforderungen, wählen die am wenigsten intrusiven Endpunkte und wählen Endpunkte aus, die keine persönlichen Informationen zurückgeben.

GitHub zeigt den Überprüfungsstatus des geheimen Schlüssels in der Warnungsansicht an, sodass Sie sehen können, ob der geheime Schlüssel ist active, inactiveoder ob der Überprüfungsstatus lautet unknown. Optional können Sie eine "On-Demand"-Gültigkeitsprüfung für den geheimen Schlüssel in der Warnungsansicht durchführen.

Informationen zu erweiterten Metadatenüberprüfungen

Hinweis

Erweiterte Metadatenüberprüfungen in Sicherheitskonfigurationen befinden sich derzeit in der öffentlichen Vorschau und können geändert werden.

Erweiterte Überprüfungen der Metadaten liefern zusätzliche kontextbezogene Informationen über erkannte Geheimnisse. Sie werden häufig als Analysegeräte in anderen Tools bezeichnet.

Sie können erweiterte Metadatenüberprüfungen aktivieren, wenn Gültigkeitsprüfungen aktiviert sind. Anschließend erhalten Sie Informationen, die Ihnen helfen:

        **Gewinnen Sie tiefere Einblicke in erkannte Geheimnisse**: Wissen Sie, wer ein Geheimnis besitzt.

        **Priorisieren Sie die Korrektur**: Verstehen sie den Umfang und die Auswirkungen der einzelnen verfügbar gemachten Geheimschlüssel.

        **Verbessern Sie die Reaktion auf Vorfälle**: Identifizieren Sie verantwortliche Teams oder Einzelpersonen schnell, wenn ein Geheimnis durchgesickert ist.

        **Verbessern Sie die Einhaltung der Vorschriften**: Stellen Sie sicher, dass Geheimnisse den Governance- und Sicherheitsrichtlinien Ihrer Organisation entsprechen.

        **Reduzieren Sie falsch positive Ergebnisse**: Verwenden Sie zusätzlichen Kontext, um festzustellen, ob eine Erkennung eine Aktion erfordert.

Die verfügbaren Metadaten hängen davon ab, was der Dienstanbieter mit GitHubteilt. Nicht alle geheimen Typen unterstützen erweiterte Metadatenüberprüfungen. Weitere Informationen finden Sie unter Bewerten von Warnungen aus der Geheimnisüberprüfung.

Erste Schritte mit Gültigkeits- und erweiterten Metadatenüberprüfungen

Hinweis

Ab dem 18. Februar 2026 aktiviert GitHub automatisch erweiterte Metadatenprüfungen für Repositorys, die Gültigkeitsprüfungen aktiviert haben. Für repositorys, die von Sicherheitskonfigurationen verwaltet werden, aktualisiert GitHub diese Konfigurationen und wendet das Feature auf angefügte Repositorys an. Dies ist ein einmaliger Übergang, der Organisationen dabei hilft, von erweiterten Metadaten ohne manuelle Konfiguration zu profitieren.

Sie können Gültigkeits- und erweiterte Metadatenüberprüfungen auf Repository-, Organisations- oder Unternehmensebene aktivieren, um zu priorisieren, welche offengelegten Anmeldeinformationen die unmittelbarsten Sicherheitsrisiken darstellen.

Für große Organisationen empfehlen wir die Verwendung von Sicherheitskonfigurationen , um diese Features auf Organisation oder Unternehmensebene zu aktivieren. Mit Sicherheitskonfigurationen können Sie secret scanning Einstellungen zentral verwalten und einheitlich auf viele Repositories anwenden.

Erste Schritte:

Repositorys finden Sie unter Aktivieren von Gültigkeitsprüfungen für dein Repository
Informationen zu einer Organisation finden Sie unter Erstellen einer benutzerdefinierten Sicherheitskonfiguration
Informationen zu einem Unternehmen finden Sie unter Erstellung einer angepassten Sicherheitskonfiguration für dein Unternehmen