Auf dem secret risk assessment-Dashboard werden zeitpunktbezogene Erkenntnisse zu den in deiner Organisation erkannten Geheimnissen angezeigt. Weitere Informationen zum Bericht findest du unter Informationen zur Risikobewertung von Geheimnissen.
Note
Der Bericht zur secret risk assessment befindet sich derzeit in der public preview. Änderungen sind vorbehalten. Wenn du Feedback oder Fragen hast, nimm an der Diskussion in GitHub Community teil – wir hören zu.
Voraussetzungen
Generiere einen secret risk assessment-Bericht, und beende die Überprüfung, bevor du die Ergebnisse anzeigen und exportieren kannst. Weitere Informationen findest du unter Anzeigen der Risikobewertung von Geheimnissen für deine Organisation und Exporting the secret risk assessment to CSV.
Priorisieren von Sicherheitslücken mit hohem Risiko für die Behebung
Informationen zum Ausmaß und der Anfälligkeit für kompromittierte Geheimnisse in deiner Organisation findest du in den Metriken Gesamtanzahl von Geheimnissen, Öffentliche Sicherheitslücken und Speicherorte von Geheimnissen.
Identifiziere anschließend die Bereiche in deiner Organisation, in denen kompromittierte Geheimnisse die höchste Sicherheitsgefahr darstellen.
- Kompromittierte Geheimnisse, die noch aktiv sind, stellen in der Regel das größte Sicherheitsrisiko dar. Priorisiere daher alle aktiven Geheimnisse für die Behebung vor inaktiven Geheimnissen. Weitere Informationen zum Überprüfen der Gültigkeit von erkannten Anmeldeinformationen findest du unter Aktivieren von Gültigkeitsüberprüfungen für Ihr Repository.
- Auf ähnliche Weise werden in öffentlichen Repositorys kompromittierte Geheimnisse als größeres Risiko angesehen und höher priorisiert als Sicherheitslücken in privaten Repositorys.
- Die Metrik Repositorys mit Sicherheitslücken gibt die Häufigkeit oder das Ausmaß kompromittierter Geheimnisse in deiner Organisation an. Ein großer Anteil an Repositorys mit kompromittierten Geheimnissen kann ein Hinweis darauf sein, dass in deiner Organisation Entwickler besser geschult und das Sicherheitsbewusstsein im Umgang mit Geheimnissen erhöht werden sollte.
Identifizieren von gefährdeten Bereichen
In den Metriken Vermeidbare Sicherheitslücken und Geheimniskategorien findest du Informationen zu deiner aktuellen Abdeckung der Geheimniserkennung. Außerdem erfährst du, wie du mit GitHub die Kompromittierung von Geheimnissen in Zukunft verhindern kannst.
- Die Metrik Vermeidbare Sicherheitslücken zeigt die kompromittierten Geheimnisse an, die mit GitHub Secret Protection-Features wie secret scanning und Pushschutz hätten verhindert werden können.
- Suche mithilfe der Metrik Geheimniskategorien und der Tabelle Tokentyp nach Mustern in den Geheimnistypen, die in deiner Organisation kompromittiert wurden.
- Häufige Bereiche und wiederholtes Auftreten kompromittierter Geheimnisse können darauf hindeuten, dass bestimmte CI/CD-Workflows oder Entwicklungsprozesse in deiner Organisation zu den Ergebnissen beitragen.
- Möglicherweise kannst du auch bestimmte Teams, Repositorys oder Netzwerke identifizieren, die anfälliger für die Kompromittierung von Geheimnissen sind, und daher zusätzliche Sicherheitsmaßnahmen oder -verwaltung erfordern.
Einführen von GitHub Secret Protection zur Verhinderung von Sicherheitslücken
Zur Vermeidung von Sicherheitslücken in deiner Organisation und zur Optimierung der Erkennungsraten von Geheimnissen wird der Kauf von GitHub Secret Protection-Produkten empfohlen. GitHub Secret Protection ist eine fortlaufende Überwachungs- und Erkennungslösung, die auf äußerst effektive Weise zu einer sicheren Entwicklung beiträgt. Weitere Informationen findest du unter Auswahl von GitHub Secret Protection.