GitHub Secret Scanning: Bedeutung & Best Practices

GitHub wird von Entwicklern weltweit genutzt, um Projektcode zu speichern und zu teilen. Es ermöglicht Entwicklern, öffentliche Repositories zu erstellen und an verschiedenen Projekten zusammenzuarbeiten. Gegründet im Jahr 2008, ist GitHub ein cloudbasierter Dienst mit Hosting-Funktionen und wurde 2018 von Microsoft übernommen.

GitHub verfügt über ein Versionskontrollsystem, das Funktionen wie das Erstellen von Softwareanfragen, Fehlerverfolgung, Aufgabenmanagement usw. bietet. Es ist quelloffen, zugänglich und verfügt über mehr als 372 Millionen Repositories. Die Entwickler von GitHub hätten jedoch die Sicherheit stärker berücksichtigen sollen, und es kann gelegentlich zu Kompromittierungen kommen. Passwörter können gestohlen werden, und GitHub-Secrets können relativ unsicher aufbewahrt werden.

GitHub verfügt über ein Secret-Scanning-Partnerprogramm, um Secret-Token-Formate zu analysieren und nach versehentlichen Commits zu suchen. Die Ergebnisse dieser Scans können an Cloud-Service-Provider gesendet werden, um Endpunkte zu verifizieren. GitHub-Scans verhindern auch die betrügerische Nutzung von Zugangsdaten und können auf öffentliche npm-Pakete angewendet werden. Organisationen können private Repositories scannen, Secret Scanning einsehen und verwalten und mehr. GitHub bietet zudem einen Secret-Alert-Service, der Webhooks von GitHub akzeptiert, die Secret-Scanning-Nachrichten enthalten.

Dieser Leitfaden behandelt alles, was Sie über GitHub Secret Scanning wissen müssen, und geht auf die Details ein.

Was ist GitHub Secret Scanning?

GitHub Secret Scanning umfasst verschiedene Sicherheitsfunktionen, die Secrets innerhalb von Organisationen schützen. Einige dieser Funktionen stehen als Tools zur Verfügung, während Unternehmen, die die erweiterten Sicherheitslösungen von GitHub nutzen, besondere Vorteile genießen. 

GitHub Secret Scanning durchsucht die gesamte Git-Historie aller Branches in GitHub-Repositories nach Secrets.

Warum ist GitHub Secret Scanning wichtig?

GitHub Secret Scanning ist notwendig, da es potenzielle Credential-Leaks verhindert und Entwicklern hilft, Regex-Muster zu definieren. Es ist allgemein bekannt, dass Repositories dem Risiko der Offenlegung sensibler Daten ausgesetzt sind und das Hardcoding von Secrets im Quellcode problematisch ist. DevOps-Teams nutzen GitHub Actions, um Workflows zu automatisieren und Anwendungen bereitzustellen, und verfügen über eine leistungsstarke integrierte Funktion namens Secrets. Damit können Nutzer Werte sicher im Quellcode speichern und verwenden, aber Experten sind der Meinung, dass die Nutzung des Tools allein nicht für ausreichende Sicherheit sorgt. 

Drittanbieter-Secret-Scanning-Tools sind externe Dienste, die eine sichere und zentralisierte Verwaltung und Speicherung von Secrets in DevOps-Workflows bieten. Sie bieten mehr Flexibilität als GitHub Actions Secrets und zusätzliche Funktionen wie größere Speicherkapazitäten, höhere Speicherlimits, Secret-Key-Rotation, Zugriffsmanagement, Auditing, Versionierung usw.

Verfügbare Funktionen für Secret Scanning in GitHub

• GitHub Actions Secrets sind nur für GitHub Actions sichtbar und werden nicht in den Ausgabelogs oder Weboberflächen angezeigt
• GitHub Secret Scanning kann verwendet werden, um verschlüsselte Datendateien wie SSH-Zertifikate zu speichern, die jederzeit aktualisiert oder gelöscht werden können
• GitHub Actions Secrets folgen bestimmten Sicherheitsrichtlinien und Verschlüsselungsprotokollen, die nur autorisierte Nutzer einsehen und nutzen können

Der Standard-GitHub-Secret-Scanner hat jedoch verschiedene Einschränkungen: 

• Die erste ist, dass es eine maximale Größenbeschränkung von 64 KB pro Secret gibt und nur 100 Secrets in Repositories gespeichert werden dürfen 
• Eine Organisation kann nicht mehr als 1.000 Secrets speichern und es fehlen erweiterte Sicherheitsfunktionen wie Secret-Key-Rotation, Auditing, Versionierung usw.
• Es gibt keine Unterstützung für mehrere Repositories, und Organisationen können Secrets nicht gleichzeitig über mehrere Workflows oder Projekte hinweg synchronisieren, teilen, organisieren oder aktualisieren.

Wie funktioniert GitHub Secret Scanning?

Nutzer können konfigurieren, wie sie Echtzeit-Benachrichtigungen für das Scannen von Repositories auf geleakte Secrets erhalten. Die GitHub-Secret-Scanning-Funktion kann für jedes öffentliche Repository aktiviert werden, das sie besitzen. Sobald sie aktiviert ist, durchsucht GitHub alle Secrets in der gesamten Git-Historie aller Branches im GitHub-Repository.

Secret Scanning funktioniert für mehrere Repositories innerhalb derselben Organisation. GitHub Secret Scanning hilft Organisationen, die betrügerische Nutzung von Secrets zu verhindern und versehentliche Commits zu vermeiden.

Wie konfiguriert man GitHub Secret Scanning?

1. Besuchen Sie GitHub.com und navigieren Sie zur Hauptseite des Repositories
2. Klicken Sie auf den Tab Einstellungen, um ein Dropdown-Menü zu öffnen. Klicken Sie im Sicherheitsbereich in der Seitenleiste auf Code-Sicherheit und Analyse
3. Überprüfen Sie, ob GitHub Advanced Security aktiviert ist. Falls nicht, klicken Sie auf Aktivieren.
4. Klicken Sie auf GitHub Advanced Security für dieses Repository aktivieren.
5. Nach Abschluss wird Secret Scanning automatisch für das öffentliche Repository der Organisation aktiviert. Falls neben der Secret-Scanning-Funktion eine Schaltfläche „Aktivieren“ angezeigt wird, müssen Sie darauf klicken. Sie können Secret Scanning deaktivieren, indem Sie auf die Schaltfläche Deaktivieren klicken.
6. GitHub Secret Scanning blockiert auch Commits, die unterstützte Secrets enthalten, und bietet eine Push Protection-Funktion. Sie können Aktivieren anklicken, wenn Sie Pushes manuell überprüfen möchten.

Was sind die Best Practices für GitHub Secret Scanning?

Hier sind einige Best Practices beim Scannen von GitHub-Secrets:

Es ist wichtig, kürzlich eingereichte Zugangsdaten zu überprüfen, bevor sie als Secrets gespeichert werden. Dies hilft, die Anzahl der Secrets in Organisationen gering zu halten und nutzt Webhooks, um Benachrichtigungen über neue Secrets an die richtigen Teams zu leiten. Entwickler sollten ausreichende Schulungsunterlagen erhalten und diese vor dem Committen neuer Secrets verteilen. Die Nachverfolgung von Warnungen und die Implementierung eines fortschrittlichen Behebungsprozesses ist für jeden Secret-Typ entscheidend.

Es ist entscheidend, die kritischsten committeten Secrets zu adressieren und mit der Überprüfung älterer Secrets zu beginnen. Nach der Identifizierung jedes Secret-Typs sollten Entwickler den Behebungsprozess definieren und dokumentieren. Sie sollten auch alle vorgenommenen Änderungen an neue Nutzer kommunizieren und Richtlinien für das Management betroffener Repositories festlegen.

Sie können erweiterte Sicherheitsscans mit der GitHub Enterprise Cloud einrichten. Ihre Organisation benötigt eine GitHub Advanced Security-Lizenz und GitHub kann automatisch Partner-Pattern-Scans auf jedem öffentlichen Repository durchführen.

Vor- und Nachteile von GitHub Secret Scanning

Vorteile von Git Secret Scanning

Secret Scanning ist eine wertvolle Funktion, die Organisationen hilft, sensible Informationen zu identifizieren und Maßnahmen zu deren Schutz zu ergreifen. Der Einsatz von Secret-Scanning-Tools unterstützt Unternehmen dabei, ihre gesamte Cloud-Sicherheitslage zu stärken. GitHub bietet Secret Scanning kostenlos für alle öffentlichen Repositories an und arbeitet mit cloudbasierten Service-Providern zusammen, um geleakte Zugangsdaten über das Secret-Scanning-Partnerprogramm zu kennzeichnen.

Open-Source-Entwickler erhalten kostenlosen Zugang zu Warnungen über geleakte Secrets im Code, können Änderungen nachverfolgen und geeignete Maßnahmen ergreifen. GitHub hat zudem Push Protection für alle GitHub Advanced Security-Kunden eingeführt, seit April 2022, um Secrets proaktiv zu scannen und Leaks zu verhindern, bevor sie committet werden. Push Protection für benutzerdefinierte Patterns wird musterweise konfiguriert und angewendet.

Nachfolgend eine Liste der Vorteile von GitHub Secret Scanning:

• GitHub Secret Scanning ist für Organisationen jeder Größe kostenlos und gewährt öffentlichen Zugang
• Es bietet zusätzliche Sicherheit und macht es äußerst bequem, alle in öffentlichen Repositories gespeicherten Secrets im Blick zu behalten
• GitHub Secrets Scanning ist deutlich schneller als das manuelle Überprüfen einzelner Codezeilen
• Branchen wie Gesundheitswesen, Finanzwesen und Einzelhandel können sensible Informationen verschlüsseln und die Einhaltung relevanter Standards und Vorschriften sicherstellen.

Nachteile von Git Secret Scanning

Die folgenden Punkte sind Nachteile von GitHub Secret Scanning:

• Bedrohungsanalysen können zu lange dauern
• Bei der Secret-Erkennung können False Positives und False Negatives auftreten
• Kann die Entwicklungszeiten verlangsamen
• Es besteht die Möglichkeit automatischer Build-Fehler
• Weniger Zeilen werden gescannt im Vergleich zu Drittanbieter-GitHub-Secret-Scanning-Tools
• Extraktionsfehler in Datenbanken und Warnungen im generierten Code
• Die Secret-Scanning-Konfiguration für Partner-Patterns auf öffentlichen Repositories kann nicht geändert werden

Wie SentinelOne beim GitHub Secret Scanning hilft

Gestohlene Zugangsdaten sind für fast die Hälfte aller Cybersecurity-Angriffe verantwortlich. GitHub hat über 1 Million geleakte Secrets in öffentlichen Repositories und mehr als ein Dutzend versehentliche Leaks pro Minute festgestellt.

Versehentliche Leaks von APIs, Tokens und anderen Secrets erhöhen das Risiko von Cloud-Datenpannen, verursachen Reputationsschäden und führen zu rechtlichen Haftungen. Der Standard-GitHub-Secret-Scanner verlässt sich auf bekannte Angriffsmuster und Signaturen, um den Missbrauch von Zugangsdaten zu erkennen. Organisationen haben in der Regel keine Möglichkeit zu untersuchen, wie diese Secrets abgerufen werden, und vernachlässigen den menschlichen Faktor. 

Hier kommt SentinelOne ins Spiel.

SentinelOne identifiziert Cloud-Fehlkonfigurationen, Credential-Leaks und überprüft Infrastructure-as-Code (IaC)-Vorlagen. Es ermöglicht Sicherheitsteams, nicht verwaltete Instanzen, Kubernetes-Cluster und verschiedene Cloud-Dienste aufzuspüren.

Das umfassende CNAPP von SentinelOne geht noch einen Schritt weiter und setzt Shift-Left-Security durch. Die Offensive Security Engine identifiziert alle potenziellen Exploits und behebt unbekannte oder versteckte Schwachstellen. SentinelOne CNAPP scannt öffentliche und private Cloud-Repositories und schützt geschäftskritische Workloads. Es bietet Sicherheitsautomatisierung, die die Cloud-Sicherheitslage einer Organisation sofort verbessern kann. Die Plattform erkennt über 750 verschiedene Secret-Typen und verhindert auch das Leaken von Cloud-Zugangsdaten.

Durch die Kombination von statischer Machine-Learning-Analyse und dynamischer Verhaltensanalyse können Sicherheitsteams Probleme mit Secrets in Echtzeit scannen und beheben. SentinelOne CNAPP rotiert Secret-Keys regelmäßig und reduziert so das Risiko, dass Secrets kompromittiert werden. Die Plattform implementiert symmetrische Verschlüsselungsalgorithmen wie AES, DES und 3DES für verbesserten Schutz. Purple AI ist Ihr persönlicher Security Analyst und beschleunigt Ihre SecOps mit einer einheitlichen, KI-gestützten Steuerungsebene. Es reduziert die Mean Time to Respond und optimiert die Untersuchung von Secrets. 

Tour starten

KI-gestützter Cloud Workload-Schutz (CWPP) für Server, VMs und Container, der Laufzeitbedrohungen in Echtzeit erkennt und stoppt.

Fazit

Auch wenn GitHub Secret Scanning viele Ressourcen beanspruchen kann, dürfen Organisationen es nicht vernachlässigen. Gute GitHub-Secret-Scanning-Techniken können Datenpannen verhindern, Kunden schützen und operative Ausfälle minimieren.

GitHub Secret Scanning ist ein essenzieller Bestandteil der Cloud-Sicherheit und hilft, Schwachstellen in Code-Repositories zu identifizieren. Ohne GitHub-Secret-Scanning-Tools wären Unternehmen angreifbar, was schwerwiegende Folgen haben könnte.