O painel secret risk assessment exibe insights pontuais sobre os segredos detectados em sua organização. Para obter mais informações sobre o relatório, confira Sobre a avaliação de risco de segredo.
Note
O relatório secret risk assessment atualmente está em versão prévia pública e está sujeito a alterações. Se você tiver comentários ou perguntas, participe da discussão na GitHub Community – estamos atentos.
Pré-requisitos
Você precisa gerar um relatório de secret risk assessment e aguardar a conclusão da verificação antes de poder exibir e exportar os resultados. Confira Exibindo o relatório de avaliação de risco de segredo de sua organização e Exportando o secret risk assessment para CSV.
Priorizando vazamentos de alto risco para correção
Para entender o volume de seus segredos e a exposição a vazamentos de segredos, examine as métricas Total secrets,Public leaks e Secret locations.
Em seguida, identifique as áreas em sua organização em que os segredos vazados representam a maior ameaça à segurança.
- Segredos vazados que ainda estão ativos geralmente apresentam o maior risco à segurança. Priorize todos os segredos ativos para correção antes dos segredos inativos. Para obter mais informações sobre como verificar a validade de uma credencial detectada, consulte Habilitar verificações de validade para seu repositório.
- Da mesma forma, segredos vazados em repositórios públicos geralmente são considerados riscos maiores e mais prioritários do que segredos vazados em repositórios privados .
- A métrica Repositories with leaks pode indicar a frequência ou a extensão dos vazamentos de segredos em sua organização. Uma grande proporção de repositórios com vazamentos de segredos pode sugerir que a educação dos desenvolvedores e o aumento da conscientização de segurança em relação a segredos são importantes para sua organização.
Identificando áreas de exposição
Examine as métricas Preventable leaks e Secret categories para entender sua cobertura atual de detecção de segredos, além de saber como o GitHub pode ajudar a evitar vazamentos de segredos futuros.
- Vazamentos de segredos que poderiam ter sido evitados usando recursos da GitHub Secret Protection como a secret scanning e a proteção de push são mostrados pela métrica Preventable leaks.
- Usando a tabela Secret categories metric and the Token type, procure padrões no tipo de segredos vazados em toda a sua organização.
- Áreas comuns e ocorrências repetidas de segredos vazados podem sugerir fluxos de trabalho específicos de CI/CD ou processos de desenvolvimento em sua organização que estão contribuindo para esses resultados.
- Você também pode identificar equipes, repositórios ou redes específicas mais propensas a vazamentos de segredos e, assim, exigir que medidas de segurança ou gerenciamento adicionais sejam implementadas.
Adotar a GitHub Secret Protection para evitar vazamentos
Recomendamos que você compre produtos de GitHub Secret Protection para aumentar a exposição de sua organização a vazamentos de segredos e otimizar suas taxas de detecção de segredos. A GitHub Secret Protection é uma solução de monitoramento e detecção contínua que é o caminho mais eficaz para o desenvolvimento seguro. Confira Escolhendo a GitHub Secret Protection.