Enabling validity checks for your repository

Enabling validity checks on your repository helps you prioritize the remediation of alerts as it tells you if a secret is active or inactive.

Wer kann dieses Feature verwenden?

Gültigkeitsprüfungen für Partnermuster sind für die folgenden Repositorytypen verfügbar:

  • Repositorys im Besitz von Organisationen auf GitHub Team oder GitHub Enterprise Cloud,die GitHub Secret Protection aktiviert haben

Gültigkeitsprüfungen für Partnermuster sind für GitHub Enterprise-Cloud mit Datenresidenz auf GHE.com nicht verfügbar.

In diesem Artikel

About validity checks

You can enable validity checks for secrets identified as service provider tokens for your repository. Once enabled, GitHub will periodically check the validity of a detected credential by sending the secret directly to the provider, as part of GitHub's secret scanning partnership program. Informationen zu unserem Partnerprogramm findest du unter Secret scanning partner program.

GitHub displays the validation status of the secret in the alert view, so you can see if the secret is active, inactive, or if the validation status is unknown. You can optionally perform an "on-demand" validity check for the secret in the alert view.

You can additionally choose to enable validity checks for partner patterns. Once enabled, GitHub will periodically check the validity of a detected credential by sending the secret directly to the provider, as part of GitHub's formal secret scanning partnership program. GitHub typically makes GET requests to check the validity of the credential, picks the least intrusive endpoints, and selects endpoints that don't return any personal information.

GitHub displays the validation status of the secret in the alert view.

You can filter by validation status on the alerts page, to help you prioritize which alerts you need to take action on.

Hinweis

GitHub typically makes GET requests to check the validity of the credential, picks the least intrusive endpoints, and selects endpoints that don't return any personal information.

For more information on using validity checks, see Evaluating alerts from secret scanning.

Enabling validity checks

Hinweis

You can also use the REST API to enable validity checks for partner patterns for your repository. For more information, see REST-API-Endpunkte für Repositorys.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.

  4. Klicke unter „Secret Protection“ rechts neben „Validity checks“ auf Enable.

  5. Scroll to the bottom of the page and click Save changes.

Alternatively, organization owners and enterprise administrators can enable the feature for all repositories in the organization or enterprise. For more information on enabling at the organization-level, see Erstellen einer benutzerdefinierten Sicherheitskonfiguration. For more information on enabling at the enterprise-level, see Erstellen einer benutzerdefinierten Sicherheitskonfiguration für dein Unternehmen.

Further reading