GitHub 提供了一个机密风险评估报告,组织所有者和安全经理可以生成该报告来评估组织的机密泄露情况****。 secret risk assessment 是组织中代码的按需时间点扫描****:
- 显示组织内任何泄露的机密
- 显示组织外部泄露的机密类型
- 为补救提供可行的见解 有关报告的详细信息,请参阅 关于机密风险评估。
你可以为组织生成 secret risk assessment 报告,查看报告,并将结果导出为 CSV。
Note
secret risk assessment 报告目前为 公共预览版,可能随时更改。 如果你有反馈或问题,请加入 GitHub Community 中的讨论 - 我们会用心倾听。
生成初始 secret risk assessment
-
在 GitHub 上,导航到组织的主页面。
-
在组织名称下,单击“ 安全性”。
-
在边栏的“Security”下,单击“Assessments”。 1. 若要生成 secret risk assessment,请单击“Scan your organization”。
如果你是组织所有者,并且已选择加入电子邮件通知,GitHub 将向你发送电子邮件,以便在报告准备好查看时通知你。
重新运行 secret risk assessment
Tip
每 90 天只能生成一次报告。 建议实施 GitHub Secret Protection 进行持续机密监视和预防。 请参阅“选择 GitHub Secret Protection”。
-
在 GitHub 上,导航到组织的主页面。
-
在组织名称下,单击“ 安全性”。
-
在边栏的“Security”下,单击“Assessments”****。
-
在现有报告的右上方,单击 。
-
选择“Rerun scan”****。
如果你是组织所有者,并且已选择加入电子邮件通知,GitHub 将向你发送电子邮件,以便在报告准备好查看时通知你。
查看 secret risk assessment
-
在 GitHub 上,导航到组织的主页面。
-
在组织名称下,单击“ 安全性”。
-
在边栏的“Security”下,单击“Assessments”****。 你可以在本页上查看最新报告。
将 secret risk assessment 导出为 CSV
-
在 GitHub 上,导航到组织的主页面。
-
在组织名称下,单击“ 安全性”。
-
在边栏的“Security”下,单击“Assessments”****。
-
在报告的右上方,单击 。
-
选择“Download CSV”****。
secret risk assessment CSV 文件包含以下信息。
| CSV 列 | 名称 | 说明 |
|---|---|---|
| A | Organization Name | 在其中检测到机密的组织名称 |
| B | Name | 机密类型的令牌名称 |
| C | Slug | 令牌的规范化字符串。 这对应于受支持的机密表中的 Token。 请参阅“支持的机密扫描模式”。 |
| D | Push Protected | 一个 boolean,指示是否在启用推送保护时通过推送保护来检测和阻止机密 |
| E | Non-Provider Pattern | 一个 boolean,指示机密是否与非提供商模式匹配,如果启用了带有非提供商模式的 secret scanning,则生成警报 |
| 周五 | Secret Count | 为令牌类型找到的活动和非活动机密的聚合计数 |
| G | Repository Count | 在其中找到机密类型的不同仓库的聚合计数,包括公共、专用、和已存档仓库 |
后续步骤
你已经为组织生成了 secret risk assessment,接下来了解如何解释结果。 请参阅“解释机密风险评估结果”。