关于泄露机密的风险
要想防止泄露机密,评估泄露机密风险至关重要:
-
被不良行为者利用。 恶意行为者可以利用泄漏的机密(如 API 密钥、密码和令牌),在未经授权的情况下访问系统、数据库和敏感信息。 机密泄露可能会导致数据泄露,损害用户数据,并可能导致重大财务和信誉损失。 请在 GitHub Executive Insights 中查看了解组织的机密泄露情况中的行业案例和深入讨论。
-
监管问题。 许多行业对数据保护有严格的监管要求,泄露机密可能导致不符合法规,从而导致法律处罚和罚款。
-
服务中断。 未经授权的系统访问可能会导致服务中断,从而影响提供给用户的服务的可用性和可靠性。
-
失去信任。 客户希望有强大的安全措施来保护他们的数据,而泄露机密的风险会削弱客户对组织保护信息能力的信任和信心。
-
代价高昂的后果。 解决泄露机密的后果可能代价高昂,涉及事件响应工作、安全审核和受影响各方的潜在赔偿。
定期评估泄露机密的风险是一种良好的做法,有助于识别漏洞,实施必要的安全措施,并确保任何泄露的机密都能及时轮换和失效。
关于 secret risk assessment
Note
secret risk assessment 报告目前为 公共预览版,可能随时更改。 如果你有反馈或问题,请加入 GitHub Community 中的讨论 - 我们会用心倾听。
Tip
该报告只有在使用 GitHub Team 计划时才可用。 有关该计划以及如何升级的信息,请参阅 GitHub Team和升级组织的计划。
GitHub 提供了一个机密风险评估报告,组织所有者和安全经理可以生成该报告来评估组织的机密泄露情况****。 secret risk assessment 是组织中代码的按需时间点扫描****:
- 显示组织内任何泄露的机密
- 显示组织外部泄露的机密类型
- 为补救提供可行的见解
secret risk assessment 报告提供了以下见解:
- 机密总数 - 组织内检测到的暴露机密的聚合计数。
- 公共泄露 - 在组织的公共仓库中发现的独特机密。
- 可预防泄漏 - 可使用 GitHub Secret Protection 功能(如 secret scanning 和推送保护)保护的机密。
- 机密位置 - 针对报告扫描的位置。 免费的 secret risk assessment 仅扫描组织中的代码,包括已存档仓库中的代码__。 可以使用 GitHub Secret Protection 扩展扫描范围,以涵盖拉取请求、议题、wiki 和 GitHub Discussions 中的内容****。
- 机密类别 - 泄露的机密类型的分布。 机密可以是合作伙伴机密(与我们合作伙伴计划中的服务提供商发布的机密相匹配的字符串),也可以是通用机密(非服务提供商模式,如 SSH 密钥、数据库连接字符串和 JSON Web 令牌)。
- 存在泄露的仓库 -在扫描的所有仓库中发现泄露机密的仓库。
Tip
每 90 天只能生成一次报告。 建议实施 GitHub Secret Protection 进行持续机密监视和预防。 请参阅“选择 GitHub Secret Protection”。
由于 secret risk assessment 报告基于仓库,因此无论 GitHub Secret Protection 功能的启用状态如何,你都可以查看当前的泄露机密风险,并更好地了解 GitHub 如何帮助你防止未来的机密泄露****。
后续步骤
你已经了解了 secret risk assessment 报告,接下来你可能想了解如何:
- 生成报告以查看组织风险。 请参阅“查看组织的机密风险评估报告”。
- 解释报告的结果。 请参阅“解释机密风险评估结果”。
- 启用 GitHub Secret Protection 以改善机密泄露足迹。 请参阅“选择 GitHub Secret Protection”。