RepoGuard
BlogÜberAnmelden

12. Juni 2026

GitHub-Repository auf öffentlich prüfen

Die meiste versehentliche Veröffentlichung auf GitHub ist kein Hack - es ist ein Repository, das aus Versehen auf öffentlich gestellt wurde. So prüfst du, was wirklich sichtbar ist, und behältst es im Blick.

Ein einzelnes Repository prüfen

Öffne das Repository auf github.com. Unter dem Repository-Namen zeigt GitHub ein Label Public oder Private. Steht dort Public, kann jeder im Internet den Code, die Issues und die gesamte Historie lesen - inklusive Suchmaschinen und KI-Crawlern.

Zum Ändern gehst du in die Settings, scrollst zur Danger Zone und nutzt Change repository visibility. Ein Zurückschalten auf privat entfernt es aus der öffentlichen Ansicht, aber bereits geklonte oder indexierte Inhalte können anderswo bestehen bleiben.

Alle Repositories auf einmal prüfen

Repos einzeln zu prüfen skaliert nicht. Um deinen gesamten öffentlichen Footprint zu sehen, liste jedes öffentliche Repository eines Accounts auf:

  • Im Profil den Reiter Repositories öffnen und nach Type: Public filtern.
  • Die GitHub-API nutzen: eine Anfrage an /users/{username}/repos liefert öffentliche Repositories mit ihrer Sichtbarkeit.
  • Ein Tool wie RepoGuard nutzen, um einen Account zu scannen und alle öffentlichen Repositories in einer Ansicht zu sehen - ohne Login.
Vergiss Forks, archivierte Repositories und die privaten Accounts von Teammitgliedern nicht - Exposure versteckt sich am häufigsten in den Repos, die niemand aktiv beobachtet.

Worauf du achten solltest

Öffentlich ist nicht automatisch ein Problem - Open Source soll öffentlich sein. Das Risiko ist das Repository, das du nicht veröffentlichen wolltest: ein internes Tool, ein Prototyp, ein Config-Repo oder alles, dessen Name auf Secrets hindeutet. Achte auf Repos mit Namen wie config, env, backup oder internal.

Wenn du ein exponiertes Repository findest

Wenn ein Repository nie öffentlich hätte sein sollen, geh in dieser Reihenfolge vor:

  • Stell es in den Settings -> Danger Zone auf privat.
  • Rotiere jedes Credential, das es preisgegeben haben könnte - geh davon aus, dass es bereits kompromittiert ist.
  • Prüfe die Commit-Historie; Secrets können in alten Commits stecken, auch wenn die Datei weg ist.
  • Halte die Entscheidung fest, damit dasselbe Repo beim nächsten Review nicht wieder als Überraschung auftaucht.

Bleib am Ball

Eine einmalige Prüfung ist eine Momentaufnahme. Neue Repositories tauchen auf, Sichtbarkeiten ändern sich, und Teammitglieder pushen Code, den du nie siehst. Verlässlich ist kontinuierliches Monitoring, das dich sofort warnt, wenn ein neues öffentliches Repository bei einem Account auftaucht, der dir wichtig ist.

Öffentlichen GitHub-Footprint prüfen

Gib einen GitHub-Benutzernamen oder eine Organisation ein, um alle öffentlichen Repositories zu sehen - ohne Login.

Zurück zum Blog