secret risk assessment 仪表板显示组织中检测到的机密的时间点见解。 有关报告的详细信息,请参阅 关于机密风险评估。
先决条件
你需要生成 secret risk assessment 报告,并等待扫描完成,然后才能查看和导出结果。 请参阅 查看组织的机密风险评估报告 并将 secret risk assessment 导出到 CSV。
优先修正高风险泄漏
若要了解机密的使用足迹和机密泄漏情况,请查看“机密总数”、“公共泄漏”和“机密位置”指标************。
接下来,确定组织中泄露的机密对安全性构成最高威胁的区域。
- “仍处于活动状态的泄露机密”通常对安全性造成的风险最大****。 优先修正任何活动机密,之后再处理非活动机密。 有关检查检测到凭据的有效性的详细信息,请参阅 为存储库启用有效性检查。
- 同样,“公共存储库中泄露的机密”通常被视为比专用存储库中泄露的机密具有更高的风险和优先级****。
- “存在泄漏的存储库”指标可以指示组织中机密泄漏的频率或程度****。 大部分“存在泄漏的存储库”可能表明开发人员培训和加强对机密的安全意识对于组织来说非常重要。
识别暴露区域
除了了解 GitHub 如何帮助防止将来的机密泄漏外,还请查看“可预防泄漏”和“机密类别”指标以了解当前的机密检测覆盖情况********。
- “可预防泄漏”指标会显示本可使用 GitHub Secret Protection 功能(例如 secret scanning 和推送保护)避免的机密泄露****。
- 使用“机密类别”指标和“令牌类型”表,搜索组织中已泄露机密的类型的模式********。
- 已泄漏机密的常见区域和重复出现可能表示组织中的特定 CI/CD 工作流或开发流程导致了此结果。
- 还可以识别更容易发生机密泄漏的特定团队、存储库或网络,并据此需要制定其他安全措施或管理措施。
采用 GitHub Secret Protection 防止泄漏
建议购买 GitHub Secret Protection 产品,以改善组织的机密泄漏情况并优化机密检测速率。 GitHub Secret Protection 是持续的监视和检测解决方案,是实现安全开发的最有效途径。 请参阅“选择 GitHub Secret Protection”。