Informationen zur Risikobewertung von Geheimnissen

Hier erfährst du, warum du unbedingt die Anfälligkeit deiner Organisation für Datenlecks kennen solltest und wie du mithilfe des secret risk assessment-Berichts den Überblick über kompromittierte Geheimnisse innerhalb deiner Organisation behältst.

Wer kann dieses Feature verwenden?

Die Secret risk assessment ist für Repositorys im Besitz von Organisationen mit GitHub Team und GitHub Enterprise kostenlos verfügbar.

In diesem Artikel

Informationen zur Anfälligkeit für kompromittierte Geheimnisse

Die Bewertung deiner Anfälligkeit für kompromittierte Geheimnisse ist entscheidend, wenn du folgende Situationen verhindern möchtest:

  • Ausnutzung durch böswillige Akteure: Böswillige Akteure können kompromittierte Geheimnisse wie API-Schlüssel, Kennwörter und Token verwenden, um nicht autorisierten Zugriff auf Systeme, Datenbanken und vertrauliche Informationen zu erhalten. Kompromittierte Geheimnisse können zu einer Verletzung des Datenschutzes führen, die Sicherheit von Benutzerdaten gefährden und potenziell zu einer Rufschädigung und erheblichen finanziellen Verlusten führen. Branchenbeispiele und ausführliche Diskussionen findest du unter Understanding your organization's exposure to secret leaks in GitHub Executive Insights.

  • Rechtliche Probleme: In vielen Branchen gelten strenge gesetzliche Vorschriften zum Datenschutz, weshalb kompromittierte Geheimnisse als Nichteinhaltung der Bestimmungen gelten und zu rechtlichen Strafen und Geldbußen führen können.

  • Dienstunterbrechungen: Nicht autorisierter Zugriff auf Systeme kann zu Dienstunterbrechungen führen, was sich auf die Verfügbarkeit und Zuverlässigkeit von bereitgestellten Diensten auswirkt.

  • Vertrauensverlust: Deine Kundschaft erwartet stabile Sicherheitsmaßnahmen zum Schutz ihrer Daten, weshalb Sicherheitslücken das Vertrauen in die Organisation und deren Fähigkeit zum Schutz von Informationen beeinträchtigen können.

  • Kostspielige Folgen: Die Konsequenzen von kompromittierten Geheimnissen können kostspielig sein und umfassen Reaktionen auf Incidents, Sicherheitsüberwachungen und mögliche Entschädigungen für betroffene Personen.

Eine regelmäßige Bewertung deiner Anfälligkeit für kompromittierte Geheimnisse ist empfehlenswert, um Sicherheitslücken zu identifizieren, erforderliche Sicherheitsmaßnahmen zu implementieren und sicherzustellen, dass alle kompromittierten Geheimnisse umgehend rotiert und ungültig gemacht werden.

Informationen zu secret risk assessment

Note

Der Bericht zur secret risk assessment befindet sich derzeit in der public preview. Änderungen sind vorbehalten. Wenn du Feedback oder Fragen hast, nimm an der Diskussion in GitHub Community teil – wir hören zu.

Tip

Dieser Bericht ist nur im GitHub Team-Plan verfügbar. Weitere Informationen zum Plan und einem Upgrade findest du unter GitHub Team und Upgrading your organization's plan.

GitHub bietet einen Bericht mit einer Risikobewertung von Geheimnissen, den Personen mit den Rollen „Organisationsbesitzer“ und „Sicherheitsmanager“ generieren können, um die Gefährdung einer Organisation hinsichtlich kompromittierter Geheimnisse auszuwerten. Die secret risk assessment ist ein On-Demand-Scan des Organisationscodes zu einem bestimmten Zeitpunkt, der:

  • alle kompromittierten Geheimnisse innerhalb der Organisation zeigt
  • die Geheimnisse anzeigt, die an Dritte außerhalb der Organisation weitergegeben wurden
  • handlungsrelevante Erkenntnisse zur Behebung bietet

Der secret risk assessment-Bericht bietet folgende Erkenntnisse:

  • Gesamtanzahl von Geheimnissen: Die aggregierte Anzahl der kompromittierten Geheimnisse, die innerhalb der Organisation erkannt wurden.
  • Öffentliche Sicherheitslücken: Eindeutige Geheimnisse, die in den öffentlichen Repositorys deiner Organisation gefunden wurden.
  • Vermeidbare Sicherheitslücken: Geheimnisse, die mit GitHub Secret Protection-Features wie secret scanning und Pushschutz hätten geschützt werden können.
  • Speicherorte von Geheimnissen: Speicherorte, die für den Bericht überprüft werden. Die kostenlose secret risk assessment scannt nur den Code in deiner Organisation, einschließlich des Codes in archivierten Repositorys. Du kannst die gescannte Oberfläche erweitern, um Inhalte in Pull Requests, Issues, Wikis und GitHub Discussions mit GitHub Secret Protection abzudecken.
  • Geheimniskategorien: Verteilung der Typen von kompromittierten Geheimnissen. Geheimnisse können Partnergeheimnisse sein, bei denen es sich um Zeichenfolgen handelt, die den von Dienstanbietern in unserem Partnerprogramm ausgestellten Geheimnissen entsprechen, oder generische Geheimnisse, bei denen es sich um Nichtanbietermuster wie SSH-Schlüssel, Datenbankverbindungszeichenfolgen und JSON-Webtoken handelt.
  • Repositorys mit Sicherheitslücken: Repositorys, in denen aus allen überprüften Repositorys kompromittierte Geheimnisse erkannt wurden.

Tip

Du kannst den Bericht nur einmal alle 90 Tage generieren. Es wird empfohlen, GitHub Secret Protection für die kontinuierliche Geheimnisüberwachung und Prävention zu implementieren. Weitere Informationen findest du unter Auswahl von GitHub Secret Protection.

Da der secret risk assessment-Bericht unabhängig vom Aktivierungsstatus von GitHub Secret Protection-Features auf deinen Repositorys basiert, erhältst du einen Überblick über deine aktuelle Anfälligkeit für kompromittierte Geheimnisse. Auf diese Weise wird deutlich, wie du mit GitHub Sicherheitslücken künftig verhindern kannst.

Nächste Schritte

Nachdem du den secret risk assessment-Bericht jetzt kennengelernt hast, interessieren dich möglicherweise folgende Schritte: