Der GitHub MCP-Server (Model Context Protocol) ermöglicht es Ihnen, secret scanning direkt aus dem Agentmodus sowie GitHub Copilot anderen MCP-kompatiblen Tools auszuführenGitHub Copilot-CLI. Scannen Sie Ihren Code nach verfügbar gemachten Schlüsseln, Token und Anmeldeinformationen, während Sie arbeiten, und korrigieren Sie ihn, bevor Sie pushen.
Die geheimen Scantools sind nur über den GitHub Remote-MCP-Server verfügbar. Lokale MCP-Serverkonfigurationen werden nicht unterstützt.
Dies funktioniert mit jedem MCP-kompatiblen Agent oder IDE, einschließlich Visual Studio CodeJetBrains, Claude Code, Cursor und Windsurf. Die Benutzeroberfläche variiert in verschiedenen Clients.
Hinweis
Von MCP-aufgerufenen Scans zurückgegebene Ergebnisse sind kurzlebig. Sie werden nur während der aktuellen Sitzung im Chat Ihres Agenten angezeigt und nicht als Warnungen auf GitHub gespeichert. Dies bedeutet, dass diese Ergebnisse nicht auf der Registerkarte "Sicherheit", in der secret scanning Warnungsliste oder in den REST/GraphQL-APIs für Warnungen angezeigt werden. MCP-Scans sollten als Vorab-Sicherheitsüberprüfung behandelt werden, nicht als Datensatzsystem. Beheben Sie Die Ergebnisse, bevor sie in das Repository verschoben und im Git-Verlauf beibehalten werden.
Voraussetzungen
GitHub Secret Protection
** ist für das Repository aktiviert.
GitHub DER MCP-Server** ist in Ihrer IDE oder Ihrem Agent verbunden. Siehe [AUTOTITLE](/copilot/how-tos/provide-context/use-mcp/set-up-the-github-mcp-server).
- Die Sicherheitskonfiguration Ihrer Organisation bestimmt, welche geheimen Typen erkannt werden und ob Pushschutz erzwungen wird. Die MCP-Tools respektieren die Pushschutzkonfiguration Ihrer Organisation (Einstellungen für den Pushschutz auf Repositoryebene werden nicht verwendet).
Schritt 1: Installieren und Konfigurieren von Tools
Aktivieren des secret_protection Toolsets
Aktivieren Sie das secret_protection Toolset, um die Scantools für Ihren Agent verfügbar zu machen. Die Standardtoolsets enthalten sie nicht.
Das run_secret_scanning Tool ist zurzeit an das copilot Toolset angefügt und nicht secret_protection. Sie müssen run_secret_scanning explizit als zusätzliches Tool neben dem secret_protection-Toolset in Ihrer MCP-Konfiguration einschließen.
GitHub Copilot-CLI hat den GitHub MCP-Server integriert:
copilot mcp --toolsets=secret_protection --tools=run_secret_scanning
Fügen Sie das secret_protection-Toolset und die run_secret_scanning tool zu Ihrer MCP-Konfiguration hinzu.
{
"servers": {
"github": {
"url": "https://api.githubcopilot.com/mcp/",
"headers": {
"X-MCP-Toolsets": "secret_protection",
"X-MCP-Tools": "run_secret_scanning"
}
}
}
}
{
"servers": {
"github": {
"url": "https://api.githubcopilot.com/mcp/",
"headers": {
"X-MCP-Toolsets": "secret_protection",
"X-MCP-Tools": "run_secret_scanning"
}
}
}
}
Bearbeiten Sie in Ihrer JetBrains-IDE Ihre MCP-Serverkonfiguration, um die secret_protection Toolset- und run_secret_scanning Toolheader einzuschließen. Weitere Informationen zum Konfigurieren von MCP-Servern in JetBrains finden Sie in der JetBrains-Dokumentation unter MCP-Server .
{
"servers": {
"github": {
"type": "http",
"url": "https://api.githubcopilot.com/mcp/",
"headers": {
"GitHub-MCP-Toolsets": "secret_protection",
"GitHub-MCP-Tools": "run_secret_scanning"
}
}
}
}
{
"servers": {
"github": {
"type": "http",
"url": "https://api.githubcopilot.com/mcp/",
"headers": {
"GitHub-MCP-Toolsets": "secret_protection",
"GitHub-MCP-Tools": "run_secret_scanning"
}
}
}
}
(Optional) Installieren des Plug-Ins Advanced Security
Das Advanced Security Plug-In bietet Ihnen einen /secret-scanning Schrägstrichbefehl für eine optimierte Scanerfahrung in GitHub Copilot-CLI und Visual Studio Code. Das Plug-In verwendet die MCP-Tools unter der Haube, sodass Sie die secret_protection Toolset weiterhin aktivieren müssen.
Anweisungen zum Installieren des Plug-Ins:
- Weitere GitHub Copilot-CLI Informationen finden Sie unter Suchen und Installieren von Plug-Ins für GitHub Copilot-CLI.
- Weitere Visual Studio Code Informationen finden Sie in der Dokumentation unter Visual Studio Code".
Schritt 2: Scannen des Codes
Sobald das Toolset aktiviert ist, können Sie einen Scan je nach Client auf verschiedene Arten auslösen.
**Eingabeaufforderung in natürlicher Sprache**. In jedem MCP-kompatiblen Agent können Sie Folgendes fragen:
"Überprüfen Sie meine aktuellen Änderungen auf offengelegte Geheimnisse, und zeigen Sie mir die Dateien und Zeilen, die ich aktualisieren sollte, bevor ich commite."
Führen Sie secret scanning auf die von mir seit meinem letzten Commit geänderten Dateien aus und fassen Sie hochzuverlässige Erkenntnisse zusammen.
**Slash-Befehl (erfordert das Advanced Security Plugin).** Wenn Sie das optionale Plug-In in Schritt 1 installiert haben, können Sie auch Folgendes verwenden:
"/secret-scanning Überprüfen Sie den mehrstufigen Diff auf Anmeldeinformationen, Schlüssel oder Token, und schlagen Sie Ersetzungen mithilfe von Umgebungsvariablen vor."
**Direkter Toolaufruf:** Sie können das Scantool auch direkt von Ihrem Client aus aufrufen.
Führen Sie copilot --add-github-mcp-tool run_secret_scanning aus.
Geben Sie /secret-scanning in Copilot-Chat
ein.
- Öffnen Sie in Ihrer IDE Copilot-Chat
- Klicken Sie auf die Registerkarte "Agent "
- Verwenden Sie eine Eingabeaufforderung wie: "Überprüfen Sie meine letzten Änderungen auf offengelegte Geheimnisse, bevor ich commite." Sie können auch auf das Symbol "Tools" im Chatfeld klicken, um die verfügbaren
secret_protectionTools direkt zu durchsuchen.
Der Agent gibt Folgendes zurück:
- Der Typ des gefundenen Geheimnisses.
- Die Datei und Zeile , an der sie erkannt wurde
- Maßnahmen zur Schadensbehebung, z. B. Das Entfernen oder Erneuern der Anmeldeinformationen
Wenn der Pushschutz aktiviert ist, blockiert der MCP-Server auch, dass Geheimnisse in Aktionen einfließen, die in Ihrem Auftrag ausgeführt werden, wie zum Beispiel Commits, Pull-Anfragen oder die Erstellung von Dateien. Siehe Arbeiten mit Pushschutz und dem GitHub MCP-Server.
Problembehandlung
| Problem | Prüfen |
|---|---|
| Das Scannen gibt keine Ergebnisse zurück. | Überprüfen Sie, ob das secret_protection Toolset in Ihrer MCP-Konfiguration aktiviert ist. |
| Repository nicht zugelassen |
Secret scanning über MCP ist für öffentliche Repositorys verfügbar und muss GitHub Secret Protection für private und interne Repositorys aktiviert werden. |
| Der Agent erkennt das Tool nicht. | Bestätigen Sie, dass Ihre IDE oder Ihr Agent MCP unterstützt. Siehe Informationen zum Model Context Protocol (MCP). | | Unerwartete Erkennungsergebnisse | Die Sicherheitskonfiguration Ihrer Organisation steuert, welche Muster gescannt werden. Überprüfen Sie Ihre Repositorysicherheitseinstellungen. | | Das Tool funktioniert in einem Client, aber nicht in einem anderen | Die Erfahrung unterscheidet sich bei MCP-kompatiblen Clients. Überprüfen Sie die MCP-Dokumentation Ihres Clients auf unterstützte Features. |