Skip to main content

Öffentliche Überwachung für geheime Überprüfungen

Öffentliches Monitoring erkennt Zugangsdaten, die von Mitgliedern Ihres Unternehmens in öffentlichen Repositorys über GitHub offengelegt wurden, und verschafft Ihnen Transparenz über die Offenlegung von Geheimnissen über die Grenzen Ihres Unternehmens hinaus.

Wer kann dieses Feature verwenden?

Public monitoring is available for enterprises on GitHub Enterprise Cloud with GitHub Advanced Security or GitHub Secret Protection enabled. Public monitoring is not available for GitHub Enterprise-Cloud mit Datenresidenz.

Hinweis

Das öffentliche Monitoring für secret scanning befindet sich derzeit in Öffentliche Vorschau und kann sich ändern. Wenn Sie Feedback haben, nehmen Sie bitte an der Diskussion teil.

Informationen zur öffentlichen Überwachung

GitHub überwacht in Echtzeit Geheimnisse, die über GitHub hinweg offengelegt werden. Die öffentliche Überwachung ordnet öffentlich offengelegte Geheimnisse Ihrem Unternehmen zu, basierend darauf, wo Ihre Mitarbeitenden Commits vornehmen.

Secret scanning erkennt geheime Schlüssel in Repositorys, die Ihr Unternehmen besitzt. Die öffentliche Überwachung erweitert diese Erkennung auf geheime Schlüssel, die in beliebigen öffentlichen Repositorys in GitHub.com gefunden werden, unabhängig davon, ob Ihr Unternehmen das Repository besitzt, in dem es durchleckt wurde.

Dadurch erhalten Unternehmenssicherheitsadministratoren Einblicke in die Offenlegung von Anmeldeinformationen, die sie sonst nicht kennen würden, und hilft dabei, potenzielle Risiken und geheime Geheimnisse zu identifizieren, die von schlechten Akteuren ausgenutzt werden könnten.

Funktionsweise der öffentlichen Überwachung

Die öffentliche Überprüfung durchsucht öffentliche Repositorys, einschließlich Nicht-Code-Inhalten wie Kommentaren zu Issues und Pull Requests über GitHub hinweg, nach Geheimnissen, die mit Ihrem Unternehmen verknüpft sind. Wenn ein Geheimnis erkannt wird, wird in der Sicherheitsübersicht für Unternehmen eine Warnung eingeblendet.

Attributionsmethoden

Öffentliches Monitoring verwendet zwei Methoden, um erkannte Geheimnisse Ihrem Unternehmen zuzuordnen:

  • Unternehmensmitgliedschaft: Geheimnisse, die durch Benutzer offengelegt wurden, die Mitglieder Ihres Unternehmens sind
  • Abgleich mit verifizierter Domain: Geheimnisse, die von Benutzern offengelegt wurden, deren E-Mail-Adresse mit einer verifizierten Domain Ihres Unternehmens übereinstimmt, auch wenn sie keine direkten Mitglieder des Unternehmens sind

Beide Attributionsmethoden sind aktiv, wenn die öffentliche Überwachung aktiviert ist.

Requirements

Um die öffentliche Überwachung zu verwenden, muss Ihr Unternehmen Folgendes ausführen:

  • GitHub Advanced Security oder GitHub Secret Protection aktiviert haben