Évaluation de l’impact de la protection secrète GitHub

Mesurez comment GitHub Secret Protection réduit l’exposition des informations sensibles au sein de votre organisation, afin que vous puissiez démontrer la valeur et identifier les zones d'amélioration pour renforcer la sécurité.

Dans cet article

Présentation

Après avoir activé GitHub Secret Protection (GHSP) pour votre organisation, vous devez évaluer son impact et comprendre comment il protège votre organisation. Ce tutoriel vous guide à travers l'accès aux données liées aux secrets et l’interprétation des résultats pour mesurer les performances GHSP.

Dans ce tutoriel, vous apprendrez comment le faire :

  • Accéder à la vue d’ensemble de la sécurité de votre organisation pour afficher les secret scanning données
  • Passer en revue le rapport SRA secret risk assessment
  • Comparer et analyser les données pour évaluer l’impact de GHSP

Si vous n'avez pas de rapport SRA historique datant d'avant le déploiement de votre GHSP, vous pouvez toujours évaluer l'efficacité de GHSP. Passez à l’étape 4 : Analyser les tendances des données de vue d’ensemble de la sécurité.

Prerequisites

  • Vous devez disposer du rôle de propriétaire de l’organisation ou de gestionnaire de sécurité.
  • Secret Protection doit être activé pour votre organisation.

Étape 1 : Accéder à la vue d’ensemble de la sécurité au niveau de l’organisation

La vue d’ensemble de la sécurité fournit des données en temps réel sur Alertes de détection de secrets l’ensemble de votre organisation.

  1. Sur GitHub, accédez à la page principale de l’organisation.
  2. Sous le nom de votre organisation, cliquez sur l’onglet Security .
  3. Dans la page vue d’ensemble de la sécurité, cliquez sur l’onglet Risque pour afficher les données d’analyse des secrets. La vue d’ensemble montre :
    • Nombre total d’ouvertures Alertes de détection de secrets
    • Tendances des alertes au fil du temps
    • Répartition par référentiel
    • Distribution de gravité des alertes

Étape 2 : Afficher votre secret risk assessment rapport

Si vous avez déjà exécuté un rapport SRA, vous pouvez accéder au rapport pour établir une base de référence.

  1. Sur GitHub, accédez à la page principale de l’organisation.
  2. Sous le nom de votre organisation, cliquez sur l’onglet Security .
  3. Dans la barre latérale, sous « Sécurité », cliquez sur Évaluations.
  4. Passez en revue les métriques clés de l’évaluation, notamment :
    • Nombre de secrets exposés détectés
    • Types de secrets trouvés
    • Référentiels présentant le risque le plus élevé
    • Actions de correction recommandées

Remarque

Le rapport SRA représente un instantané de votre exposition de données sensibles avant et pendant la mise en œuvre de votre GHSP.

Étape 3 : Comparer les données SRA avec la vue d’ensemble de la sécurité actuelle

Le rapport SRA est une capture instantanée à un moment donné prise avant ou pendant votre déploiement GHSP, tandis que l'aperçu de la sécurité affiche les données en temps réel qui sont mises à jour à mesure que les alertes sont ouvertes et résolues. Pour effectuer une comparaison significative, vous devez vous assurer que les deux jeux de données couvrent les mêmes types de secrets.

Filtrer en types de modèles comparables

Le rapport SRA détecte uniquement les modèles de fournisseur et les modèles génériques. Toutefois, la vue d’ensemble de la sécurité peut également inclure les résultats des modèles personnalisés que vous avez configurés depuis l’activation de GHSP. Pour garantir une comparaison précise, filtrez la vue d’ensemble de la sécurité aux mêmes types de motifs que ce que couvre le SRA.

Utilisation de l’interface utilisateur

Dans l’onglet Risque de la vue d’ensemble de la sécurité, utilisez la barre de filtre pour limiter les résultats aux modèles fournisseurs et génériques uniquement, à l’exclusion des modèles personnalisés.

Utilisation de l’API

Vous pouvez également utiliser l’API REST pour récupérer par programmation des alertes filtrées par type de secret. Par exemple, pour répertorier uniquement les valeurs par défaut (fournisseur) Alertes de détection de secrets d’un référentiel :

Shell
gh api \
  -H "Accept: application/vnd.github+json" \
  /orgs/ORG/secret-scanning/alerts --paginate

Cela retourne des alertes pour les modèles par défaut uniquement. Pour inclure également des modèles génériques dans vos résultats, transmettez les noms de jetons spécifiques à l’aide du secret_type paramètre.

Pour plus d’informations, consultez « Points de terminaison d’API REST pour l’analyse de secrets ».

Créer votre comparaison

  1. À l’aide des données filtrées, créez une table de comparaison avec ces métriques clés :

    Unité de mesureRapport SRA (base de référence)Vue d’ensemble de la sécurité actuelle (filtrée)Change
    Total des secrets exposés[Numéro SRA][Nombre actuel][Différence]
    Alertes critiques[Numéro SRA][Nombre actuel][Différence]
    Référentiels affectés[Numéro SRA][Nombre actuel][Différence]

  2. Calculez la modification du pourcentage pour chaque métrique :

    • Indicateurs d’impact positifs : Réduction du nombre total de secrets exposés, moins d’alertes critiques
    • Domaines d’amélioration : Nouvelles alertes apparaissant, référentiels spécifiques avec tendances croissantes

  3. Notez les différences significatives dans les points suivants :

    • Types de secrets détectés
    • Couverture du référentiel
    • Taux de résolution des alertes

Même sans rapport SRA, vous pouvez évaluer l’efficacité de GHSP en analysant les tendances dans la vue d’ensemble de la sécurité.

  1. Sur GitHub, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur l’onglet Security .

  3. Dans l’onglet Risques de la vue d’ensemble de la sécurité, examinez le graphique de tendances affiché Alertes de détection de secrets au fil du temps.

  4. Identifier les modèles :

    • Tendance en baisse : Indique une correction et une prévention réussies
    • Plateau : Peut suggérer un état stable ou un besoin de sensibilisation accrue
    • Tendance croissante : Peut suggérer une couverture de détection accrue ou une introduction de nouveaux secrets.

  5. Cliquez sur des référentiels individuels pour explorer les détails d’alerte spécifiques.

  6. Passez en revue le taux de résolution des alertes :

    • Accédez à l’onglet Security de votre organisation.
    • Sous « Résultats », cliquez sur Secret scanning.
    • Vérifiez le nombre d’alertes fermées par rapport au nombre d’alertes qui restent ouvertes.
    • Sélectionnez le type d’alerte qui vous intéresse.
    • Évaluez le temps moyen de résolution.

Étape 5 : Interpréter les résultats et prendre des mesures

En fonction de votre analyse, déterminez les étapes suivantes.

  • Documenter l’amélioration pour illustrer la valeur GHSP
  • Identifier les pratiques réussies à répliquer dans d’autres référentiels
  • Envisagez d’étendre la couverture GHSP aux dépôts ou organisations supplémentaires

Si vous voyez des domaines d’amélioration

  • Passer en revue les référentiels avec des alertes croissantes ou des temps de résolution lents
  • Fournir une formation supplémentaire aux équipes de développement
  • Évaluer si les modèles personnalisés doivent être configurés
  • Vérifiez si la protection Push est activée pour empêcher l’introduction de nouveaux secrets

Surveillance continue

  • Planifier des révisions régulières (hebdomadaires ou mensuelles) de la vue d’ensemble de la sécurité
  • Configurer des notifications pour les nouvelles Alertes de détection de secrets
  • Suivre les métriques au fil du temps pour illustrer l’amélioration continue

Lectures complémentaires