secret risk assessment ダッシュボードには、organization 内で検出されたシークレットに関する特定の時点の分析情報が表示されます。 レポートの詳細については、「シークレット リスク評価について」を参照してください。
Note
secret risk assessmentレポートは現在パブリック プレビュー段階であり、変更される可能性があります。 フィードバックや質問がある場合は、GitHub Community のディスカッションに参加してください。
前提条件
結果を表示およびエクスポートするには、secret risk assessment レポートを生成して、スキャンが完了するのを待つ必要があります。 「Organization のシークレット リスク評価レポートの表示」と「CSV への secret risk assessment のエクスポート」をご覧ください。
リスクの高い漏洩の修復を優先する
シークレットの足跡と露出によるシークレットの漏洩を把握するには、[Total secrets]、[Public leaks]、[Secret locations] メトリックを確認します。
次に、漏洩したシークレットがセキュリティに対して最も高い脅威となる organization 内の領域を特定します。
- 通常、アクティブなままになっている漏洩したシークレットが、セキュリティに対する最大のリスクになります。 非アクティブなシークレットより、アクティブなシークレットの修復を優先します。 検出された資格情報の有効性の確認について詳しくは、「リポジトリの有効性チェックの有効化」をご覧ください。
- 同様に、通常は、パブリック リポジトリでのシークレットの漏洩の方が、プライベートまたは内部のリポジトリで漏洩したシークレットよりリスクと優先度が高いものと見なされます。
- [Repositories with leaks] メトリックを見ると、organization 全体でのシークレットの漏洩の頻度またはその範囲がわかります。 リポジトリの大部分でシークレットの漏洩が発生している場合は、開発者の教育とシークレットに関するセキュリティ意識の向上が organization にとって重要であることを示唆している可能性があります。
露出の範囲の特定
[Preventable leaks] と [Secret categories] メトリックを確認すると、GitHub が将来のシークレット漏洩の防止にどのように役立つのかだけでなく、現在のシークレット検出範囲がわかります。
- secret scanning やプッシュ保護などの GitHub Secret Protection の機能を使って防ぐことができた可能性があるシークレットの漏洩が、[Preventable leaks] メトリックで示されます。
- [Secret categories] メトリック と [Token type] テーブルを使って、organization 全体で漏洩したシークレットの種類でパターンを検索します。
- シークレットの漏洩のよく発生する領域や度重なる発生は、結果に関与している organization 内の特定の CI/CD ワークフローまたは開発プロセスを示唆している場合があります。
- また、シークレットの漏洩が発生しやすいため、追加のセキュリティ対策や管理の実施が必要である、特定のチーム、リポジトリ、またはネットワークを特定できる場合もあります。
漏えいを防ぐために GitHub Secret Protection を導入する
Organization の露出によるシークレットの漏洩を改善し、シークレットの検出率を最適化するには、GitHub Secret Protection 製品を購入することをお勧めします。 GitHub Secret Protection は継続的な監視と検出のソリューションであり、安全な開発のための最も効果的なパスです。 「GitHub Secret Protection の選択」をご覧ください。