{"meta":{"title":"Schützen deiner API-Anmeldeinformationen","intro":"Befolge diese Best Practices, um deine API-Anmeldeinformationen und -Token zu schützen.","product":"REST-API","breadcrumbs":[{"href":"/de/rest","title":"REST-API"},{"href":"/de/rest/authentication","title":"Authentifizierung"},{"href":"/de/rest/authentication/keeping-your-api-credentials-secure","title":"Schützen von API-Anmeldeinformationen"}],"documentType":"article"},"body":"# Schützen deiner API-Anmeldeinformationen\n\nBefolge diese Best Practices, um deine API-Anmeldeinformationen und -Token zu schützen.\n\n## Auswählen einer geeigneten Authentifizierungsmethode\n\nDu solltest eine Authentifizierungsmethode auswählen, die sich für die Aufgabe eignet, die du ausführen möchtest.\n\n* Um die API für persönliche Zwecke zu nutzen, können Sie eine personal access token erstellen.\n* Um die API im Auftrag einer Organisation oder eines anderen Benutzers zu verwenden, sollten Sie eine GitHub App.\n* Um die API in einem GitHub Actions Workflow zu verwenden, sollten Sie sich bei der integrierten `GITHUB_TOKEN`Authentifizierung authentifizieren.\n\nWeitere Informationen finden Sie unter [Informationen zur Authentifizierung für GitHub](/de/authentication/keeping-your-account-and-data-secure/about-authentication-to-github#authenticating-with-the-api).\n\n## Einschränken der Berechtigungen deiner Anmeldeinformationen\n\nWählen Sie beim Erstellen eines Elements personal access tokennur die erforderlichen Mindestberechtigungen oder Bereiche aus, und legen Sie ein Ablaufdatum für die minimale Zeitspanne fest, die Sie für die Verwendung des Tokens benötigen.\nGitHub empfiehlt, fine-grained personal access tokens anstelle von personal access tokens (classic) zu verwenden. Weitere Informationen finden Sie unter [Verwalten deiner persönlichen Zugriffstoken](/de/authentication/keeping-your-account-and-data-secure/managing-your-personal-access-tokens#types-of-personal-access-tokens).\n\nEin Token verfügt über die gleichen Funktionen für den Zugriff auf Ressourcen und zum Ausführen von Aktionen für diese Ressourcen, über die der Besitzer des Tokens verfügt. Er ist zudem durch alle Bereiche oder Berechtigungen beschränkt, die dem Token zugewiesen werden. Ein Token kann einem Benutzer keine zusätzlichen Zugriffsfunktionen gewähren.\n\nWählen Sie beim Erstellen eines GitHub App die Mindestberechtigungen aus, die Ihr GitHub App benötigt. Weitere Informationen finden Sie unter [Bewährte Methoden zum Erstellen einer GitHub-App](/de/apps/creating-github-apps/setting-up-a-github-app/best-practices-for-creating-a-github-app).\n\nGeben Sie bei der Authentifizierung mit `GITHUB_TOKEN` einem GitHub Actions Workflow nur die mindest erforderliche Anzahl von Berechtigungen an. Weitere Informationen finden Sie unter [Verwenden von GITHUB\\_TOKEN für die Authentifizierung in Workflows](/de/actions/security-guides/automatic-token-authentication#modifying-the-permissions-for-the-github_token).\n\n## Sicheres Speichern deiner Authentifizierungsanmeldeinformationen\n\nBehandele Authentifizierungsanmeldeinformationen genauso wie deine Kennwörter oder andere vertrauliche Anmeldeinformationen.\n\n* Gib Authentifizierungsanmeldeinformationen nicht über ein unverschlüsseltes Messaging- oder E-Mail-System weiter.\n* Übergeben Sie nicht Ihren personal access token als Klartext in der Befehlszeile. Weitere Informationen finden Sie unter [Verwalten deiner persönlichen Zugriffstoken](/de/authentication/keeping-your-account-and-data-secure/managing-your-personal-access-tokens#keeping-your-personal-access-tokens-secure).\n* Pushe unverschlüsselte Authentifizierungsanmeldeinformationen wie Token oder Schlüssel nicht an ein Repository, auch wenn das Repository privat ist. Erwägen Sie stattdessen die Verwendung eines geheimen Schlüssels oder eines Codespaces.Instead consider using a GitHub Actions secret or Codespaces secret. Weitere Informationen finden Sie unter [Verwenden von Geheimnissen in GitHub-Aktionen](/de/actions/security-guides/encrypted-secrets) und [](/de/codespaces/managing-your-codespaces/managing-encrypted-secrets-for-your-codespaces).\n* Du kannst die Geheimnisüberprüfung verwenden, um Token, private Schlüssel und andere Geheimnisse zu ermitteln, die in ein Repository gepusht wurden, oder um zukünftige Pushvorgänge zu blockieren, die Geheimnisse enthalten. Weitere Informationen finden Sie unter [Informationen zur Geheimnisüberprüfung](/de/code-security/secret-scanning/introduction/about-secret-scanning).\n\n## Einschränken, wer auf deine Authentifizierungsanmeldeinformationen zugreifen kann\n\nTeilen Sie Ihr personal access token nicht mit anderen. Statt eine personal access token zu teilen, ziehen Sie in Betracht, ein GitHub App zu erstellen. Weitere Informationen finden Sie unter [Informationen zum Erstellen von GitHub Apps](/de/apps/creating-github-apps/setting-up-a-github-app/about-creating-github-apps).\n\nWenn du Anmeldeinformationen mit einem Team teilen musst, speichere die Anmeldeinformationen in einem sicheren gemeinsam genutzten System. Beispielsweise können Sie Kennwörter sicher mithilfe von [1Password](https://1password.com/) speichern oder Schlüssel in [Azure KeyVault](https://azure.microsoft.com/en-gb/products/key-vault) speichern und den Zugriff mit Ihrem IAM (Identitäts- und Zugriffsverwaltung) verwalten.\n\nWenn Sie einen GitHub Actions Workflow erstellen, der auf die API zugreifen muss, können Sie Ihre Anmeldeinformationen in einem verschlüsselten Geheimschlüssel speichern und über den Workflow auf den verschlüsselten Geheimschlüssel zugreifen. Weitere Informationen findest du unter [Verwenden von Geheimnissen in GitHub-Aktionen](/de/actions/security-guides/encrypted-secrets) und [Erstellen authentifizierter API-Anforderungen mit einer GitHub App in einem GitHub Actions-Workflow](/de/apps/creating-github-apps/guides/making-authenticated-api-requests-with-a-github-app-in-a-github-actions-workflow).\n\n## Sicheres Verwenden von Authentifizierungsanmeldeinformationen in deinem Code\n\nDu solltest Authentifizierungsanmeldeinformationen wie Token, Schlüssel oder App-bezogene Geheimnisse niemals in deinem Code hartcodieren. Erwägen Sie stattdessen die Verwendung eines geheimen Managers wie [Azure Key Vault](https://azure.microsoft.com/products/key-vault) oder [HashiCorp Vault](https://www.hashicorp.com/products/vault). Weitere Informationen zum Sichern von GitHub App Anmeldeinformationen finden Sie unter [Bewährte Methoden zum Erstellen einer GitHub-App](/de/apps/creating-github-apps/setting-up-a-github-app/best-practices-for-creating-a-github-app).\n\nWenn Sie feststellen, dass ein anderer Benutzer personal access token an GitHub oder an anderer Stelle verfügbar gemacht wird, können Sie eine Sperranforderung über die REST-API senden. Weitere Informationen findest du unter [Widerruf](/de/rest/credentials/revoke#revoke-a-list-of-credentials).\n\nWenn Sie ein personal access token in einem Skript verwenden, sollten Sie Ihr Token als GitHub Actions geheim speichern und Ihr Skript über GitHub Actions ausführen. Sie können Ihr Token auch als codespaces secret speichern und Ihr Skript in Codespaces ausführen. Weitere Informationen finden Sie unter [Verwenden von Geheimnissen in GitHub-Aktionen](/de/actions/security-guides/encrypted-secrets) und [](/de/codespaces/managing-your-codespaces/managing-encrypted-secrets-for-your-codespaces).\n\nWenn keine dieser Optionen möglich ist, kannst du Authentifizierungsanmeldeinformationen in einer `.env`-Datei speichern. Stelle sicher, dass du deine `.env`-Datei verschlüsselst, und pushe sie niemals in ein Repository.\n\n## Vorbereiten eines Wartungsplans\n\nDu solltest einen Plan erstellen, um Sicherheitsverletzungen schnell beheben zu können. Falls dein Token oder andere Authentifizierungsanmeldeinformationen verloren gehen, musst du folgendermaßen vorgehen:\n\n* Generiere neue Anmeldeinformationen.\n* Ersetze die alten Anmeldeinformationen an allen Stellen durch die neuen Anmeldeinformationen, an denen du die Anmeldeinformationen speicherst oder darauf zugreifst.\n* Lösche die alten kompromittierten Anmeldeinformationen.\n\nInformationen zur Aktualisierung kompromittierter Zugangsdaten für ein GitHub App finden Sie unter [Bewährte Methoden zum Erstellen einer GitHub-App](/de/apps/creating-github-apps/setting-up-a-github-app/best-practices-for-creating-a-github-app).\n\nInformationen zum Erstellen und Löschen von personal access tokenS finden Sie unter [Verwalten deiner persönlichen Zugriffstoken](/de/authentication/keeping-your-account-and-data-secure/managing-your-personal-access-tokens)."}