Interpretando os resultados da avaliação de risco de segredo

Entenda os resultados da avaliação de risco secreto de secret risk assessment e priorize a remediação de vazamentos.

Quem pode usar esse recurso?

Organization owners, security managers, and users with the admin role

Neste artigo

Introdução

Neste tutorial, você interpretará os resultados secretos da avaliação de risco e aprenderá a:

  • Entender as métricas de risco no painel
  • Identificar vazamentos de segredo de alto risco
  • Priorizar segredos para correção

Pré-requisitos

Você deve gerar um relatório secret risk assessment e aguardar a finalização da verificação. Confira Executando a avaliação de risco secreto para sua organização.

Etapa 1: Compreender as métricas do painel de controle

Após a conclusão da avaliação, examine as principais métricas na parte superior do painel:

  •         **Total de segredos**: número total de vazamentos de segredo encontrados em sua organização

  •         **Vazamentos públicos: segredos distintos** encontrados em repositórios **públicos**

  •         **Vazamentos evitáveis**: vazamentos que a proteção por push poderia ter prevenido

Você também pode determinar o número de segredos encontrados em seus repositórios privados subtraindo o número de vazamentos públicos de seus segredos totais. Embora a correção desses segredos seja menos importante imediatamente, elas ainda representarão risco se alguém obtiver acesso não autorizado aos seus repositórios ou se um repositório for tornado público.

Etapa 2: Entender categorias de segredo

Examine a seção Categorias secretas para entender quais tipos de segredos foram vazados.

  •         **Padrões de provedor**: formatos de segredo específicos para serviços conhecidos (tokens AWS, Azure, GitHub )

  •         **Padrões genéricos**: formatos secretos genéricos, como chaves privadas, chaves de API, senhas

Os padrões de provedor geralmente são mais fáceis de identificar e revogar porque você sabe exatamente a qual serviço eles pertencem. Padrões genéricos podem exigir mais investigação.

Etapa 3: identificar quantos repositórios são afetados

Verifique a métrica Repositórios com vazamentos, que mostra quantos de seus repositórios contêm segredos expostos.

Se um alto percentual de repositórios contiver vazamentos, isso poderá indicar:

  • Uma questão de cultura generalizada em torno do gerenciamento de segredos
  • Uma necessidade de treinamento em toda a organização
  • Guardrails ausentes, como proteção de push, que bloqueia segredos antes de serem comprometidos

Se apenas alguns repositórios contiverem vazamentos, você poderá:

  • Concentrar esforços de correção em equipes específicas
  • Use as informações de vazamento para determinar quais repositórios são áreas de alto risco

Etapa 4: Examinar segredos vazados por tipo

Role até o final para ver a tabela detalhada Tipo Segredo, que inclui:

  •         **Tipo de segredo**: o tipo específico de segredo

  •         **Repositórios distintos**: quantos repositórios diferentes contêm esse tipo

  •         **Segredos encontrados**: contagem total desse tipo de segredo em todos os repositórios

A tabela classifica por contagem mais alta automaticamente, ajudando você a identificar os maiores riscos.

Se você vir muitos segredos do mesmo tipo (por exemplo, várias chaves AWS), isso indicará:

  • Os desenvolvedores podem não estar usando variáveis de ambiente
  • Documentação ausente sobre gerenciamento de segredos

Agora que você entende as métricas, priorize a correção com base no risco.

Os segredos de prioridade mais alta são padrões de provedor vazados em repositórios públicos, pois eles são:

  • Acessível a qualquer pessoa na Internet
  • Muitas vezes mais fácil de identificar e revogar, já que você sabe a qual serviço eles pertencem

Em seguida, você pode abordar segredos que apresentam menor risco ou exigem esforços mais extensos para corrigir. Estes podem ser:

  •         **Padrões genéricos em repositórios públicos**, que podem exigir investigação para identificar o serviço ou sistema ao qual pertencem

  •         **Vazamentos de repositório privado,** que representam um risco imediato menor, mas ainda devem ser resolvidos

Por fim, procure os seguintes indicadores, que podem exigir esforços adicionais de prevenção além da correção de vazamento:

  •         **Muitos repositórios com vazamentos**: indica a necessidade de treinamento em toda a organização e maior reconhecimento de segurança

  •         **Tipos de segredo repetidos**: sugere que fluxos de trabalho específicos ou equipes precisam de intervenção direcionada

  •         **Categorias de segredo comuns**: pode apontar para determinados processos de CI/CD que exigem melhorias de segurança

Próximas etapas

Para maior segurança de segredos e insights adicionais, o GitHub recomenda habilitar o GitHub Secret Protection para todos os seus repositórios. Confira Preços e ativação de GitHub Secret Protection.