{"meta":{"title":"Bewerten von Warnungen aus dem Secret-Scanning","intro":"Erfahren Sie mehr über zusätzliche Features, die Ihnen helfen können, Warnungen auszuwerten und deren Behebung zu priorisieren, z. B. die Gültigkeit eines geheimen Schlüssels zu überprüfen.","product":"Sicherheit und Codequalität","breadcrumbs":[{"href":"/de/enterprise-server@3.20/code-security","title":"Sicherheit und Codequalität"},{"href":"/de/enterprise-server@3.20/code-security/tutorials","title":"Anleitungen"},{"href":"/de/enterprise-server@3.20/code-security/tutorials/remediate-leaked-secrets","title":"Behebung durchgesickerter Geheimnisse"},{"href":"/de/enterprise-server@3.20/code-security/tutorials/remediate-leaked-secrets/evaluating-alerts","title":"Warnungen auswerten"}],"documentType":"article"},"body":"# Bewerten von Warnungen aus dem Secret-Scanning\n\nErfahren Sie mehr über zusätzliche Features, die Ihnen helfen können, Warnungen auszuwerten und deren Behebung zu priorisieren, z. B. die Gültigkeit eines geheimen Schlüssels zu überprüfen.\n\n## Über das Auswerten von Warnungen\n\nEs gibt einige zusätzliche Features, mit denen Sie Warnungen auswerten können, um sie besser zu priorisieren und zu verwalten. Sie haben folgende Möglichkeiten:\n\n* Überprüfen Sie die Gültigkeit eines Geheimnisses, um festzustellen, ob das Geheimnis noch aktiv ist. Siehe [Gültigkeit eines Secrets prüfen](#checking-a-secrets-validity).\n* Führen Sie eine „On-Demand“-Gültigkeitsprüfung durch, um den aktuellen Gültigkeitsstatus zu erhalten. Siehe [Ausführen einer On-Demand-Gültigkeitsprüfung](#performing-an-on-demand-validity-check).\n* Überprüfen Sie die Metadaten eines Tokens.\n **Gilt nur für GitHub-Token**. Um beispielsweise zu sehen, wann das Token zuletzt verwendet wurde. Siehe [Überprüfen von GitHub Token-Metadaten](#reviewing-github-token-metadata).\n\n## Überprüfen der Gültigkeit eines Geheimnisses\n\nGültigkeitsprüfungen helfen Ihnen, Warnungen zu priorisieren, indem Sie ihnen mitteilen, welche Geheimnisse `active` oder `inactive` sind. Ein `active`-Geheimnis kann weiterhin ausgenutzt werden, sodass diese Warnungen als Priorität überprüft und behoben werden sollten.\n\nStandardmäßig überprüft GitHub die Gültigkeit von GitHub-Token und zeigt den Gültigkeitsstatus des Tokens in der Warnungsansicht an.\n\nOrganisationen, die GitHub Team, GitHub Enterprise Cloud mit einer Lizenz für , oder GitHub Enterprise Server mit einer Lizenz für GitHub Secret Protection können auch Gültigkeitsprüfungen für Partnermuster aktivieren. Weitere Informationen finden Sie unter [Überprüfen der Gültigkeit eines geheimen Schlüssels](/de/enterprise-server@3.20/code-security/secret-scanning/managing-alerts-from-secret-scanning/evaluating-alerts#checking-a-secrets-validity).\n\n| Gültigkeitsdauer | Status | Ergebnis |\n| -------------------------------- | ---------- | -------------------------------------------------------------------------------------------------------- |\n| Aktives Geheimnis | `active` | GitHub hat beim Anbieter dieses Geheimnisses nachgefragt und ermittelt, dass dieses Geheimnis aktiv ist. |\n| Möglicherweise aktives Geheimnis | `unknown` | GitHub bietet noch keine Gültigkeitsüberprüfungen für diesen Tokentyp. |\n| Möglicherweise aktives Geheimnis | `unknown` | GitHub konnte dieses Geheimnis nicht überprüfen. |\n| Geheimnis inaktiv | `inactive` | Du solltest sicherstellen, dass noch kein unautorisierter Zugriff erfolgt ist. |\n\nGültigkeitsprüfungen für Partnermuster sind für die folgenden Repositorytypen verfügbar:\n\n* Organisationseigene Repositories auf GitHub Enterprise Server mit [GitHub Secret Protection](/de/enterprise-server@3.20/get-started/learning-about-github/about-github-advanced-security) aktiviert\n\nInformationen zum Aktivieren von Gültigkeitsprüfungen für Partnermuster finden Sie unter [Aktivieren von Gültigkeitsprüfungen für dein Repository](/de/enterprise-server@3.20/code-security/secret-scanning/enabling-secret-scanning-features/enabling-validity-checks-for-your-repository) und informationen dazu, welche Partnermuster derzeit unterstützt werden, finden Sie unter [Unterstützte Scanmuster für Secrets](/de/enterprise-server@3.20/code-security/secret-scanning/introduction/supported-secret-scanning-patterns).\n\nSie können Gültigkeitsprüfungen für Partnermuster mithilfe von Sicherheitskonfigurationen aktivieren, die entweder auf Unternehmens- oder Organisationsebene festgelegt sind. Siehe [Erstellung einer angepassten Sicherheitskonfiguration für dein Unternehmen](/de/enterprise-server@3.20/admin/managing-code-security/securing-your-enterprise/creating-a-custom-security-configuration-for-your-enterprise) und [Erstellen einer benutzerdefinierten Sicherheitskonfiguration](/de/enterprise-server@3.20/code-security/securing-your-organization/enabling-security-features-in-your-organization/creating-a-custom-security-configuration).\n\nInformationen dazu, welche Partnermuster derzeit unterstützt werden, finden Sie unter [Unterstützte Scanmuster für Secrets](/de/enterprise-server@3.20/code-security/secret-scanning/introduction/supported-secret-scanning-patterns).\n\nSie können die REST-API verwenden, um eine Liste des neuesten Überprüfungsstatus für jedes Ihrer Token abzurufen. Weitere Informationen findest du in der Dokumentation zur REST-API unter [REST-API-Endpunkte für das Secret Scanning](/de/enterprise-server@3.20/rest/secret-scanning). Sie können auch Webhooks verwenden, um über Aktivitäten im Zusammenhang mit einer secret scanning-Warnung benachrichtigt zu werden. Weitere Informationen findest du im Abschnitt zum `secret_scanning_alert`-Ereignis unter [Webhook-Ereignisse und Webhook-Nutzlasten](/de/enterprise-server@3.20/webhooks/webhook-events-and-payloads?actionType=created#secret_scanning_alert).\n\n## Durchführen einer On-Demand-Gültigkeitsprüfung\n\nNachdem du Gültigkeitsprüfungen für Partnermuster für dein Repository aktiviert hast, kannst du eine „On-Demand“-Gültigkeitsprüfung für jedes unterstützte Geheimnis ausführen, indem du in der Warnungsansicht auf ** Verify secret** klickst. GitHub sendet das Muster an den relevanten Partner, um den Überprüfungsstatus des geheimen Schlüssels in der Warnungsansicht anzuzeigen.\n\n![Screenshot der Benutzeroberfläche mit einer secret scanning-Warnung. Eine Schaltfläche mit der Beschriftung „Geheimnis bestätigen“ ist durch einen orangefarbenen Rahmen hervorgehoben.](/assets/images/help/security/secret-scanning-verify-secret.png)\n\n## Überprüfung der GitHub-Tokenmetadaten\n\n> \\[!NOTE]\n> Die Metadaten für GitHub Token befinden sich aktuell in öffentliche Vorschau und können sich noch ändern.\n\nIn der Ansicht für eine aktive GitHub-Tokenwarnung kannst du bestimmte Metadaten zum Token überprüfen. Diese Metadaten können dir helfen, das Token zu identifizieren und zu entscheiden, welche Korrekturschritte ausgeführt werden sollen.\n\nToken wie personal access token und andere Anmeldeinformationen werden als personenbezogene Daten betrachtet. Weitere Informationen zur Verwendung von GitHub-Token finden Sie unter [GitHub-Datenschutzerklärung](/de/site-policy/privacy-policies/github-privacy-statement) und [Richtlinien zur akzeptablen Nutzung von GitHub](/de/site-policy/acceptable-use-policies/github-acceptable-use-policies).\n\n![Screenshot: Benutzeroberfläche für ein GitHub-Token mit den Tokenmetadaten.](/assets/images/help/repository/secret-scanning-github-token-metadata.png)\n\nMetadaten für GitHub-Token sind für aktive Token in jedem Repository mit aktivierter Geheimnisüberprüfung verfügbar. Wenn ein Token widerrufen wurde oder sein Status nicht überprüft werden kann, sind keine Metadaten verfügbar. GitHub widerruft GitHub-Token in öffentlichen Repositorys automatisch. Daher ist es unwahrscheinlich, dass Metadaten für GitHub-Token in öffentlichen Repositorys verfügbar sind. Die folgenden Metadaten sind für aktive GitHub-Token verfügbar:\n\n| Metadaten | Description |\n| --------------------- | ----------------------------------------------------------------------------- |\n| Geheimer Name | Der Name, der dem GitHub-Token vom Ersteller/der Erstellerin zugewiesen wurde |\n| Geheimnisbesitzer\\*in | Das GitHub-Handle des Tokenbesitzers/der Tokenbesitzerin |\n| Erstellt am | Erstellungsdatum des Tokens |\n| Abgelaufen am | Ablaufdatum des Tokens |\n| Zuletzt verwendet am | Datum der letzten Verwendung des Tokens |\n| Zugang | Gibt an, ob das Token über Organisationszugriff verfügt |\n\nNur Personen mit Admin-Berechtigungen für das Repository, das ein durchgesickertes Geheimnis enthält, können die Details einer Sicherheitsmeldung und die Token-Metadaten für eine Warnung einsehen. Unternehmensbesitzer können für diesen Zweck temporären Zugriff auf das Repository anfordern. Wenn der Zugriff gewährt wird, benachrichtigt GitHub den Besitzer des Repositorys, das das geleakte Secret enthält, liefert die Aktion in den Repository-Besitzer- und Unternehmens-Audit-Protokollen und schaltet den Zugriff für 2 Stunden frei.\n\n## Nächste Schritte\n\n* ```\n [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/resolving-alerts)\n ```"}