El panel de secret risk assessment muestra información a un momento dado en los secretos detectados en la organización. Para obtener más información sobre el informe, consulta Acerca de la evaluación de riesgos de secretos.
Note
El informe de secret risk assessment se encuentra actualmente en versión preliminar pública y está sujeto a cambios. Si tienes comentarios o preguntas, únete a la discusión en GitHub Community, te escuchamos.
Requisitos previos
Debes generar un informe de secret risk assessment y esperar a que se complete el examen antes de poder ver y exportar los resultados. Consulta Visualización del informe de evaluación de riesgos secretos para tu organización y Exportación de secret risk assessment a CSV.
Priorización de filtraciones de alto riesgo para la corrección
Para comprender la superficie de los secretos y la exposición a las filtraciones de secretos, revisa las métricas Total de secretos, Filtraciones públicas y Ubicaciones secretas.
A continuación, identifica las áreas de tu organización en las que los secretos filtrados suponen la mayor amenaza para la seguridad.
- Los secretos filtrados que todavía están activos suelen presentar el mayor riesgo para la seguridad. Prioriza los secretos activos para corregirlos antes que los secretos inactivos. Para obtener más información sobre cómo comprobar la validez de una credencial detectada, consulta Habilitación de comprobaciones de validez para el repositorio.
- Del mismo modo, los secretos filtrados en repositorios públicos suelen considerarse un mayor riesgo y prioridad, que esos secretos filtrados en los repositorios privados .
- La métrica Repositorios con filtraciones puede indicar la frecuencia o la extensión de las filtraciones de secretos en toda la organización. Una gran proporción de repositorios con filtraciones de secretos puede sugerir que la educación para desarrolladores y un mayor conocimiento de seguridad en torno a los secretos es importante para tu organización.
Identificación de áreas de exposición
Revisa las métricas Filtraciones evitables y Categorías de secretos para comprender la cobertura de detección de secretos actual, además de aprender cómo GitHub puede ayudar a evitar filtraciones de secretos futuras.
- Las filtraciones de secretos que podrían haberse evitado mediante características de GitHub Secret Protection como secret scanning y la protección de inserción se muestran mediante la métrica Filtraciones evitables.
- Con la métrica Categorías de secretos y la tabla Tipo de token, busca patrones en el tipo de secretos filtrados en toda la organización.
- Las áreas comunes y repeticiones de secretos filtrados pueden sugerir flujos de trabajo de CI/CD o procesos de desarrollo concretos en tu organización que contribuyen a los resultados.
- También puedes identificar equipos, repositorios o redes específicos que son más propensos a filtraciones de secretos y, por lo tanto, requerir que se pongan en marcha medidas de seguridad o administración adicionales.
Adopción de GitHub Secret Protection para evitar filtraciones
Se recomienda comprar productos de GitHub Secret Protection para mejorar la exposición de tu organización a filtraciones de secretos y optimizar las tasas de detección de secretos. GitHub Secret Protection es una solución de supervisión y detección continuas que es la ruta más eficaz para el desarrollo seguro. Consulta Elección de GitHub Secret Protection.