Интерпретация результатов оценки секретных рисков

Используйте результаты из отчета secret risk assessment для повышения безопасности организации.

В этой статье

Панель мониторинга secret risk assessment отображает аналитические сведения о секретах, обнаруженных в вашей организации. Дополнительные сведения об отчете см. в разделе О оценке секретного риска.

Note

Отчет secret risk assessment в настоящее время находится в public preview и подлежит изменению. Если у вас есть отзывы или вопросы, присоединяйтесь к обсуждению в GitHub Community — мы слушаем.

Необходимые компоненты

Перед просмотром и экспортом результатов необходимо создать отчет secret risk assessment и дождаться завершения сканирования. См. раздел Просмотр отчета об оценке секретов рисков для вашей организации и экспорт данных secret risk assessment в CSV.

Приоритеты утечки с высоким риском для исправления

Чтобы понять, что ваши секреты следы и воздействие на утечки секретов, ознакомьтесь с метриками общих секретов,** общедоступных** утечек и секретных расположений .

Затем определите области в организации, в которых утечка секретов представляет самую высокую угрозу безопасности.

  • Утечка секретов, которые по-прежнему активны , обычно представляют наибольший риск для безопасности. Приоритет всех активных секретов для исправления перед неактивными секретами. Дополнительные сведения о проверке допустимости обнаруженных учетных данных см. в разделе Включение проверок допустимости для репозитория.
  • Аналогичным образом утечка секретов в общедоступных репозиториях обычно считается более высоким риском и приоритетом, чем эти секреты утечки в частных репозитории.
  • Репозитории с метрикой утечки могут указывать на частоту или степень утечки секретов в вашей организации. Большая часть репозиториев с утечками секретов может предложить, что образование разработчиков и повышение осведомленности о безопасности по секретам важно для вашей организации.

Определение областей воздействия

Просмотрите метрики предотвратимых утечек и категорий секретов, чтобы понять текущее покрытие обнаружения секретов, помимо изучения того, как GitHub может помочь предотвратить будущие утечки секретов.

  • Утечки секретов, которые могли быть запрещены с помощью функций GitHub Secret Protection, таких как secret scanning и защита от отправки отображаются метрикой предотвратимых утечек.
  • Используя метрику категорий секретов и таблицу типов токенов, выполните поиск шаблонов в типе секретов, утечки в вашей организации.
    • Распространенные области и повторяющиеся случаи утечки секретов могут предложить определенные рабочие процессы CI/CD или процессы разработки в вашей организации, которые способствуют результатам.
    • Вы также можете определить определенные команды, репозитории или сети, которые более подвержены утечкам секретов, и поэтому требуют дополнительных мер безопасности или управления, которые должны быть установлены.

Внедрение GitHub Secret Protection для предотвращения утечки

Мы рекомендуем приобретать продукты GitHub Secret Protection для улучшения воздействия утечки секретов в вашей организации и оптимизации частоты обнаружения секретов. GitHub Secret Protection — это решение для непрерывного мониторинга и обнаружения, которое является наиболее эффективным путем для безопасной разработки. См . раздел AUTOTITLE.