{"meta":{"title":"Verwenden von Geheimnissen in GitHub-Aktionen","intro":"Erfahren Sie, wie Sie geheime Schlüssel auf Repository-, Umgebungs- und Organisationsebene für GitHub Actions Workflows erstellen.","product":"GitHub Actions","breadcrumbs":[{"href":"/de/actions","title":"GitHub Actions"},{"href":"/de/actions/how-tos","title":"Anleitungen"},{"href":"/de/actions/how-tos/write-workflows","title":"Schreiben von Workflows"},{"href":"/de/actions/how-tos/write-workflows/choose-what-workflows-do","title":"Auswählen, was in Workflows passiert"},{"href":"/de/actions/how-tos/write-workflows/choose-what-workflows-do/use-secrets","title":"Verwenden von Geheimnissen"}],"documentType":"article"},"body":"# Verwenden von Geheimnissen in GitHub-Aktionen\n\nErfahren Sie, wie Sie geheime Schlüssel auf Repository-, Umgebungs- und Organisationsebene für GitHub Actions Workflows erstellen.\n\n## Erstellen von Geheimnissen für ein Repository\n\nUm Geheimnisse oder Variablen auf GitHub für ein Organisations-Repository zu erstellen, benötigen Sie `write` Zugriff. Für ein persönliches Konto-Repository müssen Sie Repository-Kollaborator sein.\n\n
\n\n1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.\n2. Klicke unter dem Repositorynamen auf ** Settings**. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü **** die Option **Einstellungen** aus.\n\n \n3. Wähle im Abschnitt „Security“ der Randleiste ** Secrets and variables**, und klicke anschließend auf **Actions**.\n4. Klicke auf die Registerkarte **Geheimnisse**.\n\n ```\n \n ```\n5. Klicke auf **Neues Repositorygeheimnis**.\n6. Gib im Feld **Name** einen Namen für dein Geheimnis ein.\n7. Gib im Feld **Geheimnis** einen Wert für dein Geheimnis ein.\n8. Klicke auf **Geheimnis hinzufügen**.\n\nWenn dein Repository über Umgebungsgeheimnisse verfügt oder auf Geheimnisse der übergeordneten Organisation zugreifen kann, werden diese Geheimnisse auch auf dieser Seite aufgeführt.\n\n
\n\n
\n\nVerwende zum Hinzufügen eines Geheimnisses auf Repositoryebene den Unterbefehl `gh secret set`. Ersetze `secret-name` durch den Namen deines Geheimnisses.\n\n```shell\ngh secret set SECRET_NAME\n```\n\nDu wirst von der CLI zur Eingabe eines Werts für das Geheimnis aufgefordert. Alternativ kannst du den Wert des Geheimnisses aus einer Datei lesen.\n\n```shell\ngh secret set SECRET_NAME < secret.txt\n```\n\nVerwende zum Auflisten aller Geheimnisse für das Repository den Unterbefehl `gh secret list`.\n\n
\n\n## Erstellen von Geheimnissen für eine Umgebung\n\nUm Geheimnisse oder Variablen für eine Umgebung in einem Repository eines persönlichen Kontos zu erstellen, müssen Sie Besitzer des Repositorys sein. Für das Erstellen von Geheimnissen oder Variablen für eine Umgebung in einem Organisationsrepository benötigen Sie `admin`-Zugriff. Weitere Informationen zu Umgebungen findest du unter [Verwalten von Umgebungen für die Bereitstellung](/de/actions/deployment/targeting-different-environments/managing-environments-for-deployment).\n\n
\n\n1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.\n2. Klicke unter dem Repositorynamen auf ** Settings**. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü **** die Option **Einstellungen** aus.\n\n \n3. Klicke auf der linken Randleiste auf **Umgebungen**.\n4. Klicke auf die Umgebung, der du ein Geheimnis hinzufügen möchtest.\n5. Klicke unter **Umgebungsgeheimnisse** auf **Geheimnis hinzufügen**.\n6. Gib einen Namen für dein Geheimnis in das Eingabefeld **Name** ein.\n7. Gib den Wert für das Geheimnis ein.\n8. Klicke auf **Geheimnis hinzufügen**.\n\n
\n\n
\n\nWenn du ein Geheimnis für eine Umgebung hinzufügen möchtest, verwende den Unterbefehl `gh secret set` mit dem Flag `--env` oder `-e` und dem Namen der Umgebung.\n\n```shell\ngh secret set --env ENV_NAME SECRET_NAME\n```\n\nWenn du alle Geheimnisse für eine Umgebung auflisten möchtest, verwende den Unterbefehl `gh secret list` mit dem Flag `--env` oder `-e` und dem Namen der Umgebung.\n\n```shell\ngh secret list --env ENV_NAME\n```\n\n
\n\n## Erstellen von Geheimnissen für eine Organisation\n\n> \\[!NOTE]\n> Auf Geheimnisse und Variablen auf Organisationsebene können private Repositorys für GitHub Free nicht zugreifen. Weitere Informationen zum Upgrade des GitHub-Abonnements sind unter [Heraufstufen deines Kontoplans](/de/billing/managing-billing-for-your-github-account/upgrading-your-github-subscription) zu finden.\n\nBeim Erstellen eines Geheimnisses oder einer Variable in einer Organisation kannst du mit einer Richtlinie den Zugriff jeweils nach Repository einschränken. Du kannst beispielsweise allen Repositorys Zugriff gewähren oder nur private Repositorys oder eine angegebene Liste von Repositorys zulassen.\n\nOrganisationsbesitzer\\*innen können Geheimnisse oder Variablen auf Organisationsebene erstellen.\n\n
\n\n1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.\n\n2. Klicke unter dem Organisationsnamen auf ** Settings**. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü **** die Option **Einstellungen** aus.\n\n \n\n3. Wähle im Abschnitt „Security“ der Randleiste ** Secrets and variables**, und klicke anschließend auf **Actions**.\n\n4. Klicke auf die Registerkarte **Geheimnisse**.\n\n \n\n5. Klicke auf **Neues Organisationsgeheimnis**.\n\n6. Gib einen Namen für dein Geheimnis in das Eingabefeld **Name** ein.\n\n7. Gib den **Wert** für das Geheimnis ein.\n\n8. Wähle in der Dropdownliste **Repositoryzugriff** eine Zugriffsrichtlinie aus.\n\n9. Klicke auf **Geheimnis hinzufügen**.\n\n
\n\n
\n\n> \\[!NOTE]\n> Standardmäßig authentifiziert sich GitHub CLI mit den Bereichen `repo` und `read:org`. Zur Verwaltung von Organisationsgeheimnissen musst du zusätzlich den Bereich `admin:org` autorisieren.\n>\n> ```shell\n> gh auth login --scopes \"admin:org\"\n> ```\n\nWenn du ein Geheimnis für eine Organisation hinzufügen möchtest, verwende den Unterbefehl `gh secret set` mit dem Flag `--org` oder `-o` und dem Namen der Organisation.\n\n```shell\ngh secret set --org ORG_NAME SECRET_NAME\n```\n\nStandardmäßig ist das Geheimnis nur für private Repositorys verfügbar. Wenn du angeben möchtest, dass das Geheimnis für alle Repositorys innerhalb der Organisation verfügbar sein soll, verwende das Flag `--visibility` oder `-v`.\n\n```shell\ngh secret set --org ORG_NAME SECRET_NAME --visibility all\n```\n\nWenn du angeben möchtest, dass das Geheimnis für ausgewählte Repositorys innerhalb der Organisation verfügbar sein soll, verwende das Flag `--repos` oder `-r`.\n\n```shell\ngh secret set --org ORG_NAME SECRET_NAME --repos REPO-NAME-1, REPO-NAME-2\n```\n\nWenn du alle Geheimnisse für eine Organisation auflisten möchtest, verwende den Unterbefehl `gh secret list` mit dem Flag `--org` oder `-o` und dem Namen der Organisation.\n\n```shell\ngh secret list --org ORG_NAME\n```\n\n
\n\n## Überprüfen des Zugriffs auf Organisationsgeheimnisse\n\nDu kannst überprüfen, welche Zugriffsrichtlinien auf ein Geheimnis in deiner Organisation angewendet werden.\n\n1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.\n2. Klicke unter dem Organisationsnamen auf ** Settings**. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü **** die Option **Einstellungen** aus.\n\n \n3. Wähle im Abschnitt „Security“ der Randleiste ** Secrets and variables**, und klicke anschließend auf **Actions**.\n4. Die Liste der Geheimnisse enthält alle konfigurierten Berechtigungen und Richtlinien. Klicke auf **Aktualisieren**, um weitere Details zu den konfigurierten Berechtigungen des jeweiligen Geheimnisses anzuzeigen.\n\n## Verwenden von Geheimnissen in einem Workflow\n\n> \\[!NOTE]\n>\n> * Mit Ausnahme von `GITHUB_TOKEN` werden Geheimnisse nicht an den Runner übergeben, wenn ein Workflow von einem geforkten Repository aus ausgelöst wird.\n> * Geheimnisse werden nicht automatisch an wiederverwendbare Workflows übergeben. Weitere Informationen finden Sie unter [Wiederverwenden von Workflows](/de/actions/using-workflows/reusing-workflows#passing-inputs-and-secrets-to-a-reusable-workflow).\n> * Geheime Schlüssel sind für Workflows, die durch Dependabot Ereignisse ausgelöst werden, nicht verfügbar. Weitere Informationen finden Sie unter [Problembehandlung für Dependabot auf GitHub Actions](/de/code-security/dependabot/troubleshooting-dependabot/troubleshooting-dependabot-on-github-actions#accessing-secrets).\n> * Wenn deine GitHub Actions-Workflows auf Ressourcen eines Cloudanbieters zugreifen müssen, der OpenID Connect (OIDC) unterstützt, kannst du deine Workflows so konfigurieren, dass die Authentifizierung direkt beim Cloudanbieter erfolgt. Dadurch musst du diese Anmeldeinformationen nicht mehr als langlebige Geheimnisse speichern und profitierst zudem von weiteren Sicherheitsvorteilen. Weitere Informationen finden Sie unter [OpenID Connect](/de/actions/deployment/security-hardening-your-deployments/about-security-hardening-with-openid-connect).\n\n> \\[!WARNING] Maskieren Sie alle vertraulichen Informationen, die nicht geheim GitHub sind, indem Sie `::add-mask::VALUE`verwenden. Dadurch wird der Wert als geheim behandelt und aus den Protokollen herausgenommen.\n\nWenn du für eine Aktion ein Geheimnis als Eingabe- oder Umgebungsvariable bereitstellen möchtest, kannst du mithilfe des `secrets`-Kontexts auf Geheimnisse zugreifen, die du in deinem Repository erstellt hast. Weitere Informationen findest du unter [Kontextreferenz](/de/actions/learn-github-actions/contexts) und [Workflowsyntax für GitHub Actions](/de/actions/using-workflows/workflow-syntax-for-github-actions).\n\n```yaml\nsteps:\n - name: Hello world action\n with: # Set the secret as an input\n super_secret: ${{ secrets.SuperSecret }}\n env: # Or as an environment variable\n super_secret: ${{ secrets.SuperSecret }}\n```\n\nIn `if:`-Bedingungen kann nicht direkt auf Geheimnisse verwiesen werden. Erwäge stattdessen, Geheimnisse als Umgebungsvariablen auf Auftragsebene festzulegen, und verweise dann auf die Umgebungsvariablen, um Schritte im Auftrag bedingt auszuführen. Weitere Informationen findest du unter [Kontextreferenz](/de/actions/learn-github-actions/contexts#context-availability) und [`jobs..steps[*].if`](/de/actions/using-workflows/workflow-syntax-for-github-actions#jobsjob_idstepsif).\n\nWenn kein geheimer Schlüssel festgelegt wurde, ist der Rückgabewert eines Ausdrucks, der auf den geheimen Schlüssel verweist (z `${{ secrets.SuperSecret }}` . B. im Beispiel), eine leere Zeichenfolge.\n\nWann immer dies möglich ist, vermeide die Übergabe von Geheimnissen zwischen Prozessen von der Befehlszeile aus. Befehlszeilenprozesse sind möglicherweise für andere Benutzer\\*innen sichtbar (mit dem Befehl `ps`) oder können durch [Sicherheitsüberwachungsereignisse](https://docs.microsoft.com/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing) erfasst werden. Verwende zum Schutz von Geheimnissen Umgebungsvariablen, `STDIN` oder andere Methoden, die vom Zielprozess unterstützt werden.\n\nWenn du Geheimnisse innerhalb einer Kommandozeile übergeben musst, umschließe sie im Rahmen der gültigen Quotierungsregeln. Geheimnisse enthalten oft Sonderzeichen, die in deiner Shell unbeabsichtigte Wirkungen entfalten können. Um diese Sonderzeichen zu vermeiden, verwende deine Umgebungsvariablen mit Anführungszeichen. Beispiel:\n\n### Beispiel mit Bash\n\n```yaml\nsteps:\n - shell: bash\n env:\n SUPER_SECRET: ${{ secrets.SuperSecret }}\n run: |\n example-command \"$SUPER_SECRET\"\n```\n\n### Beispiel mit PowerShell\n\n```yaml\nsteps:\n - shell: pwsh\n env:\n SUPER_SECRET: ${{ secrets.SuperSecret }}\n run: |\n example-command \"$env:SUPER_SECRET\"\n```\n\n### Beispiel mit Cmd.exe\n\n```yaml\nsteps:\n - shell: cmd\n env:\n SUPER_SECRET: ${{ secrets.SuperSecret }}\n run: |\n example-command \"%SUPER_SECRET%\"\n```\n\n## Speichern großer Geheimnisse\n\nUm geheime Schlüssel zu verwenden, die größer als 48 KB sind, können Sie eine Problemumgehung verwenden, um geheime Schlüssel in Ihrem Repository zu speichern und die Entschlüsselungspassphrase als geheimer Schlüssel GitHubzu speichern. Zum Beispiel können Sie `gpg` verwenden, um eine Datei, die Ihr Geheimnis enthält, lokal zu verschlüsseln, bevor Sie die verschlüsselte Datei in Ihr Repository auf GitHub einchecken. Weitere Informationen findest du unter [gpg manpage](https://www.gnupg.org/gph/de/manual/r1023.html).\n\n> \\[!WARNING]\n> Vergewissere dich, dass deine Geheimnisse beim Ausführen des Workflows nicht gedruckt werden. Wenn Sie diese Problemumgehung verwenden, werden geheime Informationen, die in Protokollen gedruckt werden, nicht zensiert.\n\n1. Führe in deinem Terminal den folgenden Befehl aus, um die Datei mit deinem Geheimnis mithilfe von `gpg` und dem AES256-Verschlüsselungsalgorithmus zu verschlüsseln. In diesem Beispiel ist `my_secret.json` die Datei, die das Geheimnis enthält.\n\n ```shell\n gpg --symmetric --cipher-algo AES256 my_secret.json\n ```\n\n2. Du wirst aufgefordert, eine Passphrase einzugeben. Denken Sie an die Passphrase, da Sie einen neuen geheimen Schlüssel GitHub erstellen müssen, der die Passphrase als Wert verwendet.\n\n3. Erstelle ein neues Geheimnis, das die Passphrase enthält. Erstelle z. B. ein neues Geheimnis mit dem Namen `LARGE_SECRET_PASSPHRASE`, und lege den Wert des Geheimnisses auf die Passphrase fest, die du im vorherigen Schritt verwendet hast.\n\n4. Kopiere deine verschlüsselte Datei in einen Pfad in deinem Repository, und committe sie. In diesem Beispiel lautet die verschlüsselte Datei `my_secret.json.gpg`.\n\n > \\[!WARNING]\n > Kopiere die verschlüsselte `my_secret.json.gpg`-Datei, die mit der Dateierweiterung `.gpg` endet, und **nicht** die unverschlüsselte `my_secret.json`-Datei.\n\n ```shell\n git add my_secret.json.gpg\n git commit -m \"Add new secret JSON file\"\n ```\n\n5. Erstelle ein Shellskript in deinem Repository, um die Geheimnisdatei zu entschlüsseln. In diesem Beispiel heißt das Skript `decrypt_secret.sh`.\n\n ```shell copy\n #!/bin/sh\n\n # Decrypt the file\n mkdir $HOME/secrets\n # --batch to prevent interactive command\n # --yes to assume \"yes\" for questions\n gpg --quiet --batch --yes --decrypt --passphrase=\"$LARGE_SECRET_PASSPHRASE\" \\\n --output $HOME/secrets/my_secret.json my_secret.json.gpg\n ```\n\n6. Stelle sicher, dass dein Shell-Skript ausführbar ist, bevor du es in deinem Repository eincheckst.\n\n ```shell\n chmod +x decrypt_secret.sh\n git add decrypt_secret.sh\n git commit -m \"Add new decryption script\"\n git push\n ```\n\n7. Verwenden Sie in Ihrem GitHub Actions Workflow ein `step`-Shellskript, um das Skript auszuführen und das Geheimnis zu entschlüsseln. Verwende für eine Kopie deines Repositorys in der Umgebung, in der dein Workflow ausgeführt wird, die Aktion [`actions/checkout`](https://github.com/actions/checkout). Verweise relativ zum Stamm des Repositorys mithilfe des Befehls `run` auf dein Shellskript.\n\n ```yaml\n name: Workflows with large secrets\n\n on: push\n\n jobs:\n my-job:\n name: My Job\n runs-on: ubuntu-latest\n steps:\n - uses: actions/checkout@v6\n - name: Decrypt large secret\n run: ./decrypt_secret.sh\n env:\n LARGE_SECRET_PASSPHRASE: ${{ secrets.LARGE_SECRET_PASSPHRASE }}\n # This command is just an example to show your secret being printed\n # Ensure you remove any print statements of your secrets. GitHub does\n # not hide secrets that use this workaround.\n - name: Test printing your secret (Remove this step in production)\n run: cat $HOME/secrets/my_secret.json\n ```\n\n## Speichern binärer Base64-Blobs als Geheimnisse\n\nMithilfe der Base64-Codierung kannst du kleine binäre Blobs als Geheimnisse speichern. Anschließend kannst du in deinem Workflow auf das Geheimnis verweisen und es zur Verwendung im Runner decodieren. Die Größenbeschränkungen findest du unter [Verwenden von Geheimnissen in GitHub-Aktionen](/de/actions/security-guides/using-secrets-in-github-actions#limits-for-secrets).\n\n> \\[!NOTE]\n>\n> * Base64 ermöglicht nur eine Konvertierung von Binärdaten in Text und ersetzt nicht die eigentliche Verschlüsselung.\n> * Die Verwendung einer anderen Shell erfordert möglicherweise andere Befehle zum Decodieren des Geheimnisses in eine Datei. Unter Windows-Runnern wird empfohlen, [eine Bash-Shell](/de/actions/using-workflows/workflow-syntax-for-github-actions#jobsjob_idstepsshell) mit `shell: bash` zu verwenden, um die Befehle im obigen `run`-Schritt zu verwenden.\n\n1. Verwende `base64`, um die Datei in eine Base64-Zeichenfolge zu codieren. Beispiel:\n\n Unter macOS können Sie Folgendes ausführen:\n\n ```shell\n base64 -i cert.der -o cert.base64\n ```\n\n Unter Linux können Sie Folgendes ausführen:\n\n ```shell\n base64 -w 0 cert.der > cert.base64\n ```\n\n2. Erstelle ein Geheimnis, das die Base64-Zeichenfolge enthält. Beispiel:\n\n ```shell\n $ gh secret set CERTIFICATE_BASE64 < cert.base64\n ✓ Set secret CERTIFICATE_BASE64 for octocat/octorepo\n ```\n\n3. Geben Sie das Geheimnis in `base64 --decode` weiter, um über den Runner auf die Base64-Zeichenfolge zuzugreifen. Beispiel:\n\n ```yaml\n name: Retrieve Base64 secret\n on:\n push:\n branches: [ octo-branch ]\n jobs:\n decode-secret:\n runs-on: ubuntu-latest\n steps:\n - uses: actions/checkout@v6\n - name: Retrieve the secret and decode it to a file\n env:\n CERTIFICATE_BASE64: ${{ secrets.CERTIFICATE_BASE64 }}\n run: |\n echo $CERTIFICATE_BASE64 | base64 --decode > cert.der\n - name: Show certificate information\n run: |\n openssl x509 -in cert.der -inform DER -text -noout\n ```\n\n## Nächste Schritte\n\nReferenzinformationen findest du unter [Referenzen zu Geheimnissen](/de/actions/reference/secrets-reference)."}