本指南假定你已针对现有或试用 GitHub 企业帐户计划并开始试用 GitHub Advanced Security,请参阅“规划 GitHub Advanced Security 试用”。
简介
启用 GitHub Advanced Security 的专用和内部存储库中的Secret scanning功能与所有公共存储库中的工作方式相同。 本文重点介绍使用 GitHub Advanced Security 时可用于保护业务而使其免受安全漏洞侵害的附加功能,即:
- 标识使用的其他访问令牌。
- 使用 AI 检测潜在密码。
- 控制并审核推送保护的绕过过程。
- 为公开的令牌启用有效性检查。
secret scanning的安全配置
大多数企业选择应用启用了这些功能的安全配置,从而在其所有存储库之间启用secret scanning和推送保护。 这可确保检查存储库中是否存在已添加到 GitHub 的访问令牌,此外还可在用户即将泄露 GitHub 中的令牌时进行标记。 有关创建企业级安全配置并将其应用到测试存储库的信息,请参阅“在试用企业中启用安全功能”。
提供查看secret scanning结果的访问权限
默认情况下,只有存储库管理员和组织所有者可以查看其区域中的所有secret scanning警报。 应将预定义的安全管理员角色分配给你希望访问试用期间发现警报的所有组织团队和用户。 可能还需要为试用中的每个组织的企业帐户所有者授予此角色。 有关详细信息,请参阅“管理组织中的安全管理员”。
可以在企业的“Code security”选项卡中查看在试用企业的组织中找到的所有结果的摘要****。 每种类型的安全警报也有单独的视图,请参阅“查看安全见解”。
标识其他访问令牌
可以在存储库、组织和企业级创建自定义模式来标识其他访问令牌。 在大多数情况下,应在企业级定义自定义模式,因为这可确保在整个企业中都使用相应模式。 如果需要在令牌的格式发生更改时更新模式,这样也使其易于维护。
创建和发布自定义模式后,secret scanning和推送保护都会自动在所有扫描中包含新模式。 有关创建自定义模式的详细信息,请参阅“为机密扫描定义自定义模式”。
使用 AI 检测潜在密码
在企业级,你可以完全控制是否允许使用 AI 来检测无法使用正则表达式识别的机密(也称为泛型机密或非提供程序模式)。
- 为整个企业打开或关闭该功能。
- 设置策略以阻止在组织和存储库级控制该功能。
- 设置策略以允许组织所有者或存储库管理员控制该功能。
与自定义模式类似,如果启用 AI 检测,secret scanning和推送保护都会自动在所有扫描中开始使用 AI 检测。 有关企业级控制的信息,请参阅“为企业配置额外的机密扫描设置”和“强制实施企业的代码安全性和分析策略”。
控制并审核绕过过程
当推送保护阻止在没有 GitHub Advanced Security 的公共存储库中向 GitHub 推送消息时,用户有两种简单的选项:绕过控制,或者从分支及其历史记录中移除突出显示的内容。 如果他们选择绕过推送保护,则会自动创建secret scanning警报。 这样,开发人员就可以快速解除对其工作的阻止,同时仍为secret scanning识别的内容提供审核线索。
较大型的团队通常希望对访问令牌和其他机密的潜在发布保持更为严格的控制。 凭借 GitHub Advanced Security,你可以定义审阅者组来批准绕过推送保护的请求,从而降低开发人员意外泄露仍处于活动状态的令牌的风险。 审阅者在组织级安全配置或存储库的设置中定义。 有关详细信息,请参阅“关于推送保护委派绕过”。
启用有效性检查
可以启用有效性检查,以便检查检测到的令牌是否仍在存储库、组织和企业级处于活动状态。 通常,使用企业或组织级安全配置在整个企业中启用此功能很值得。 有关详细信息,请参阅“为存储库启用有效性检查”。
后续步骤
为 GitHub Advanced Security 提供的secret scanning启用其他控制后,便已准备好根据业务需求对其进行测试,并进一步探索。 你可能还准备好试用code scanning。