Defining custom patterns for secret scanning

Protect your unique secret types by defining custom patterns with regular expressions.

Wer kann dieses Feature verwenden?

Repositorybesitzer, Organisationsbesitzer, Sicherheitsmanager, Unternehmensadministratoren und Benutzer mit der Administratorrolle

Unternehmenseigene Repositorien für GitHub Team oder GitHub Enterprise mit aktivem GitHub Secret Protection

Phase 5: Scale, customize, and automate

Artikel 2 von 6
Nächster:Enabling delegated bypass for push protection

In diesem Artikel

Defining a custom pattern with Copilot

You can use Copilot geheimen Scan to generate regular expressions based on a text description of the type of pattern you would like to detect, including optional example strings that should be detected. See Generieren regulärer Ausdrücke für benutzerdefinierte Muster mit der Copilot-Geheimnisüberprüfung.

Defining a custom pattern for a repository

Before defining a custom pattern, you must ensure that Secret Protection is enabled on your repository. For more information, see Enabling secret scanning for your repository.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.

  4. Under "Secret Protection", to the right of "Custom patterns", click New pattern.

  5. Gib die Details für dein neues benutzerdefiniertes Muster ein. Du musst zumindest den Namen für dein Muster und einen regulären Ausdruck für das Format deines geheimen Musters angeben.

    1. Gib im Feld „Mustername“ einen Namen für dein Muster ein.
    2. Geben Sie im Feld "Geheimes Format" einen regulären Ausdruck für das Format Ihres geheimen Musters ein.
    3. Du kannst auf More options klicken, um weitere umgebende Inhalte oder zusätzliche Übereinstimmungsanforderungen für das Geheimnisformat bereitzustellen. Weitere Informationen findest du unter Referenz zu benutzerdefinierten Mustern.
    4. Gib eine Beispieltestzeichenfolge an, um sicherzustellen, dass deine Konfiguration den erwarteten Mustern entspricht.

    Screenshot: ausgefülltes benutzerdefiniertes secret scanning-Musterformular

  6. When you're ready to test your new custom pattern, to identify matches in the repository without creating alerts, click Save and dry run.

  7. Wenn der Probelauf abgeschlossen ist, wird eine Auswahl der Ergebnisse (bis zu 1000) angezeigt. Überprüfe die Ergebnisse, und identifiziere alle falsch positiven Ergebnisse.

    Screenshot mit Ergebnissen aus dem Probelauf

  8. Bearbeite das neue benutzerdefinierte Muster, um Probleme mit den Ergebnissen zu beheben, und klicke dann auf Speichern und Probelauf ausführen, um deine Änderungen zu testen.

  9. Wenn du mit deinem neuen benutzerdefinierten Muster zufrieden bist, klicke auf Muster veröffentlichen.

  10. Optionally, to enable push protection for your custom pattern, click Enable. For more information, see Push protection.

    Hinweis

    The "Enable" button isn't available until after the dry run succeeds and you publish the pattern.

After your pattern is created, secret scanning sucht in Ihrem gesamten Git-Verlauf auf allen Branches, die in Ihrem GitHub-Repository vorhanden sind, nach Geheimnissen. For more information on viewing Warnungen zur Geheimnisüberprüfung, see Verwalten von Warnungen zur Geheimnisüberprüfung.

Defining a custom pattern for an organization

Before defining a custom pattern, you must ensure that you enable secret scanning for the repositories that you want to scan in your organization. You can use security configurations to enable secret scanning on all repositories in your organization. For more information, see Enabling security features at scale.

  1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.

  2. Wählen Sie eine Organisation aus, indem Sie darauf klicken.

  3. Klicke unter dem Organisationsnamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot der Registerkarten im Profil einer Organisation. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  4. In the "Security" section of the sidebar, select the Advanced Security dropdown menu, then click Global settings.

  5. Klicken Sie unter "Benutzerdefinierte Muster" auf "Neues Muster".

  6. Gib die Details für dein neues benutzerdefiniertes Muster ein. Du musst zumindest den Namen für dein Muster und einen regulären Ausdruck für das Format deines geheimen Musters angeben.

    1. Gib im Feld „Mustername“ einen Namen für dein Muster ein.
    2. Geben Sie im Feld "Geheimes Format" einen regulären Ausdruck für das Format Ihres geheimen Musters ein.
    3. Du kannst auf More options klicken, um weitere umgebende Inhalte oder zusätzliche Übereinstimmungsanforderungen für das Geheimnisformat bereitzustellen. Weitere Informationen findest du unter Referenz zu benutzerdefinierten Mustern.
    4. Gib eine Beispieltestzeichenfolge an, um sicherzustellen, dass deine Konfiguration den erwarteten Mustern entspricht.

    Screenshot: ausgefülltes benutzerdefiniertes secret scanning-Musterformular

  7. When you're ready to test your new custom pattern, to identify matches in select repositories without creating alerts, click Save and dry run.

  8. Wähle die Repositorys aus, in denen du den Probelauf ausführen möchtest.

    • Um den Probelauf in der gesamten Organisation auszuführen, wählen Sie Alle Repositorys in der Organisation aus.
    • Wenn du die Repositorys angeben möchtest, in denen der Probelauf ausgeführt werden soll, klicke auf Ausgewählte Repositorys, suche dann bis zu 10 Repositorys, und wähle sie aus.

  9. Klicke auf Ausführen, wenn du bereit bist, das neue benutzerdefinierte Muster zu testen.

  10. Wenn der Probelauf abgeschlossen ist, wird eine Auswahl der Ergebnisse (bis zu 1000) angezeigt. Überprüfe die Ergebnisse, und identifiziere alle falsch positiven Ergebnisse.

    Screenshot mit Ergebnissen aus dem Probelauf

  11. Bearbeite das neue benutzerdefinierte Muster, um Probleme mit den Ergebnissen zu beheben, und klicke dann auf Speichern und Probelauf ausführen, um deine Änderungen zu testen.

  12. Wenn du mit deinem neuen benutzerdefinierten Muster zufrieden bist, klicke auf Muster veröffentlichen.

  13. Optionally, to enable push protection for your custom pattern, click Enable. For more information, see Push protection.

    Hinweis

    • Die Option zum Aktivieren des Pushschutzes ist nur für veröffentlichte Muster sichtbar.
    • Der Pushschutz für benutzerdefinierte Muster wird nur auf Repositorys in deiner Organisation angewendet, bei denen die secret scanning als Pushschutz aktiviert ist.
    • Die Aktivierung des Pushschutzes für häufig vorkommende benutzerdefinierte Muster kann für Mitwirkende störend sein.

After your pattern is created, secret scanning scans for any secrets in repositories in your organization, including their entire Git history on all branches. Organization owners and repository administrators will be alerted to any secrets found and can review the alert in the repository where the secret is found. For more information on viewing Warnungen zur Geheimnisüberprüfung, see Verwalten von Warnungen zur Geheimnisüberprüfung.

Defining a custom pattern for an enterprise account

Hinweis

  • At the enterprise level, only the creator of a custom pattern can edit the pattern, and use it in a dry run.
  • Du kannst einen Testlauf nur für Repositorys ausführen, auf die du Administratorzugriff hast. Unternehmensbesitzer*innen, die Zugriff zum Ausführen von Testläufen für ein Repository in einer Organisation wünschen, muss die Rolle „Organisationsbesitzer“ zugewiesen sein. Weitere Informationen finden Sie unter Verwalten deiner Rolle in einer Organisation, die deinem Unternehmen gehört.

  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.

  2. Klicke oben auf der Seite auf Policies.

  3. Klicke unter „Policies“ auf Advanced SecurityCode security.

  4. Under "Advanced SecurityCode security", click Security features.

  5. Under "Secret scanning custom patterns", click New pattern.

  6. Gib die Details für dein neues benutzerdefiniertes Muster ein. Du musst zumindest den Namen für dein Muster und einen regulären Ausdruck für das Format deines geheimen Musters angeben.

    1. Gib im Feld „Mustername“ einen Namen für dein Muster ein.
    2. Geben Sie im Feld "Geheimes Format" einen regulären Ausdruck für das Format Ihres geheimen Musters ein.
    3. Du kannst auf More options klicken, um weitere umgebende Inhalte oder zusätzliche Übereinstimmungsanforderungen für das Geheimnisformat bereitzustellen. Weitere Informationen findest du unter Referenz zu benutzerdefinierten Mustern.
    4. Gib eine Beispieltestzeichenfolge an, um sicherzustellen, dass deine Konfiguration den erwarteten Mustern entspricht.

    Screenshot: ausgefülltes benutzerdefiniertes secret scanning-Musterformular

  7. When you're ready to test your new custom pattern, to identify matches in the enterprise without creating alerts, click Save and dry run.

  8. Du kannst nach Repositorys suchen und bis zu zehn Repositorys für den Probelauf auswählen.

  9. Klicke auf Ausführen, wenn du bereit bist, das neue benutzerdefinierte Muster zu testen.

  10. Wenn der Probelauf abgeschlossen ist, wird eine Auswahl der Ergebnisse (bis zu 1000) angezeigt. Überprüfe die Ergebnisse, und identifiziere alle falsch positiven Ergebnisse.

    Screenshot mit Ergebnissen aus dem Probelauf

  11. Bearbeite das neue benutzerdefinierte Muster, um Probleme mit den Ergebnissen zu beheben, und klicke dann auf Speichern und Probelauf ausführen, um deine Änderungen zu testen.

  12. Wenn du mit deinem neuen benutzerdefinierten Muster zufrieden bist, klicke auf Muster veröffentlichen.

  13. Optionally, to enable push protection for your custom pattern, click Enable. For more information, see Push protection.

    Hinweis

    • Um den Pushschutz für benutzerdefinierte Muster zu ermöglichen, muss der secret scanning als Pushschutz auf Unternehmensebene aktiviert werden.
    • Die Aktivierung des Pushschutzes für häufig vorkommende benutzerdefinierte Muster kann für Mitwirkende störend sein.

After your pattern is created, secret scanning scans for any secrets in repositories within your organizations with GitHub Secret Protection enabled, including their entire Git history on all branches. Organization owners and repository administrators will be alerted to any secrets found, and can review the alert in the repository where the secret is found. For more information on viewing Warnungen zur Geheimnisüberprüfung, see Verwalten von Warnungen zur Geheimnisüberprüfung.

Applying a custom security configurationEnabling delegated bypass for push protection