In diesem Leitfaden wird davon ausgegangen, dass du eine Testversion von GitHub Advanced Security für ein vorhandenes GitHub-Unternehmenskonto geplant und gestartet hast. Weitere Informationen findest du unter Planen einer Testversion von GitHub Advanced Security.
Einführung
Secret scanning-Features funktionieren in privaten und internen Repositorys auf die gleiche Weise, wobei GitHub Advanced Security wie in allen öffentlichen Repositorys aktiviert ist. Dieser Artikel konzentriert sich auf die zusätzlichen Funktionen, die du verwenden kannst, um dein Unternehmen vor Sicherheitslecks zu schützen, wenn du GitHub Advanced Security verwendest, d. h.:
- Ermitteln zusätzlicher Zugriffstoken, die du verwendest
- Erkennen potenzieller Kennwörter mithilfe von KI
- Steuern und Überwachen des Umgehungsprozesses zum Pushschutz
- Aktivieren von Gültigkeitsprüfungen für verfügbar gemachte Token
Sicherheitskonfiguration für secret scanning
Die meisten Unternehmen entscheiden sich dafür, secret scanning zu aktivieren und den Schutz an alle Repositorys zu pushen, indem sie Sicherheitskonfigurationen mit aktivierten Features anwenden. Dadurch wird sichergestellt, dass Repositorys auf Zugriffstoken überprüft werden, die bereits GitHub hinzugefügt wurden. Zusätzlich wird gemeldet, wenn Benutzer dabei sind, Token in GitHub offenzulegen. Informationen zum Erstellen einer Sicherheitskonfiguration auf Unternehmensebene und zum Anwenden auf deine Testrepositorys findest du unter Aktivieren von Sicherheitsfeatures in deinem Testunternehmen.
Gewähren des Zugriffs auf die Ergebnisse von secret scanning
Standardmäßig können nur der Repositoryadministrierende und der Organisationsbesitzer alle secret scanning-Warnungen in ihrem Bereich einsehen. Du solltest allen Organisationsteams und Benutzenden, die während der Testversion auf die Benachrichtigungen zugreifen möchten, die vordefinierte Sicherheitsmanager-Rolle zuweisen. Auch dem Besitzer des Enterprise-Kontos solltest du diese Rolle für jede Organisation in der Testversion zuweisen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsmanagern in deiner Organisation.
Auf der Registerkarte Code security für das Unternehmen findest du eine Zusammenfassung aller Ergebnisse, die in den Organisationen in deinem Testunternehmen gefunden wurden. Es gibt auch separate Ansichten für jeden Sicherheitswarnungstyp. Weitere Informationen findest du unter Einblicke in die Sicherheit anzeigen.
Ermitteln zusätzlicher Zugriffstoken
Du kannst benutzerdefinierte Muster erstellen, um zusätzliche Zugriffstoken auf Repository-, Organisations- und Unternehmensebene zu ermitteln. In den meisten Fällen solltest du benutzerdefinierte Muster auf Unternehmensebene definieren, da dadurch sichergestellt wird, dass die Muster im gesamten Unternehmen verwendet werden. Es erleichtert auch die Verwaltung, wenn du ein Muster aktualisieren musst, weil sich das Format für ein Token ändert.
Nachdem du benutzerdefinierte Muster erstellt und veröffentlicht hast, enthalten sowohl secret scanning als auch der Pushschutz automatisch die neuen Muster in allen Überprüfungen. Ausführliche Informationen zum Erstellen benutzerdefinierter Muster findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.
Verwenden von KI zum Erkennen potenzieller Kennwörter
Auf Unternehmensebene hast du die volle Kontrolle darüber, ob du die Verwendung von KI zum Erkennen von Geheimnissen zulässt, die nicht mithilfe regulärer Ausdrücke erkannt werden können (auch als generische Geheimnisse oder als Nichtanbietermuster bezeichnet).
- Aktiviere oder deaktiviere das Feature für das gesamte Unternehmen.
- Lege eine Richtlinie fest, um die Steuerung des Features auf Organisations- und Repositoryebene zu blockieren.
- Lege eine Richtlinie fest, mit der Organisationsbesitzer oder Repositoryadministrierende das Feature steuern können.
Ähnlich wie bei benutzerdefinierten Mustern gilt: Wenn du die KI-Erkennung sowohl für secret scanning als auch für Pushschutz aktivierst, wird die KI-Erkennung in allen Überprüfungen automatisch verwendet. Informationen zur Steuerung auf Unternehmensebene findest du unter Konfigurieren zusätzlicher Geheimüberprüfungseinstellungen für deine Unternehmen und Erzwingen von Richtlinien für die Codesicherheit und -analyse für Unternehmen.
Steuern und Überwachen des Umgehungsprozesses
Wenn der Pushschutz einen Push an GitHub in einem öffentlichen Repository ohne GitHub Advanced Security blockiert, haben Benutzende zwei einfache Optionen: die Kontrolle umgehen oder den hervorgehobenen Inhalt aus dem Branch und seinem Verlauf entfernen. Wenn sie den Pushschutz umgehen möchten, wird automatisch eine secret scanning-Warnung erstellt. Auf diese Weise können Entwickelnde ihre Arbeit schnell fortsetzen, während gleichzeitig ein Überwachungspfad für die Inhalte vorhanden ist, die von secret scanning erkannt wurden.
Größere Teams sollten in der Regel eine engmaschigere Kontrolle über die potenzielle Veröffentlichung von Zugriffstoken und andere Geheimnisse pflegen. Mit GitHub Advanced Security kannst du eine Reviewergruppe definieren, um Anforderungen zur Umgehung des Pushschutzes zu genehmigen, wodurch das Risiko verringert wird, dass Entwickelnde versehentlich ein Token verlieren, das noch aktiv ist. Reviewer werden in einer Sicherheitskonfiguration auf Organisationsebene oder in den Einstellungen für ein Repository definiert. Weitere Informationen finden Sie unter Info zur delegierten Umgehung für den Pushschutz.
Aktivieren von Gültigkeitsüberprüfungen
Du kannst Gültigkeitsprüfungen aktivieren, um zu überprüfen, ob erkannte Token weiterhin auf Repository-, Organisations- und Unternehmensebene aktiv sind. Im Allgemeinen lohnt es sich, dieses Feature im gesamten Unternehmen mithilfe von Sicherheitskonfigurationen auf Unternehmens- oder Organisationsebene zu aktivieren. Weitere Informationen finden Sie unter Aktivieren von Gültigkeitsüberprüfungen für Ihr Repository.
Nächste Schritte
Wenn du die zusätzlichen Kontrollen für secret scanning aktiviert hast, die durch GitHub Advanced Security verfügbar sind, kannst du sie anhand deiner Geschäftsanforderungen ausführlicher testen. Du kannst auch code scanning testen.