Оценка влияния секретной защиты GitHub

Измеряйте, как GitHub Secret Protection снижает уязвимость секретов в вашей организации, чтобы продемонстрировать ценность и выявить области для укрепления вашей безопасности.

В этой статье

Введение

После включения GitHub Secret Protection (GHSP) для вашей организации вам стоит оценить его влияние и понять, как она защищает вашу организацию. Этот урок проведёт вас через доступ к секретным данным и интерпретацию результатов для измерения эффективности GHSP.

В этом руководстве описано, как:

  • Получите обзор безопасности вашей организации, чтобы просмотреть secret scanning данные
  • Ознакомьтесь secret risk assessment с отчётом (SRA)
  • Сравнивайте и анализируйте данные для оценки влияния GHSP

Если у вас нет исторического отчета SRA до внедрения GHSP, вы всё равно можете оценить эффективность GHSP. Перейдём к шагу 4: Анализируйте тенденции данных обзора безопасности.

Необходимые условия

  • Вам нужна роль владельца организации или менеджера по безопасности.
  • Secret Protection должно быть включено для вашей организации.

Шаг 1: Получить доступ к обзору безопасности на уровне организации

Обзор безопасности предоставляет данные в реальном времени по Оповещения о сканировании секретов всей вашей организации.

  1. На GitHubперейдите на главную страницу организации.
  2. Под названием вашей организации нажмите вкладку Security .
  3. На странице обзора безопасности нажмите на вкладку «Риски », чтобы просмотреть данные секретного сканирования. Обзор показывает:
    • Общее количество открытых Оповещения о сканировании секретов
    • Тенденции оповещений со временем
    • Разбивка по репозиториям
    • Распределение степени оповещения

Шаг 2: Просмотрите свой secret risk assessment отчёт

Если вы ранее запускали отчёт SRA, вы можете получить доступ к отчёту, чтобы установить исходную точку.

  1. На GitHubперейдите на главную страницу организации.
  2. Под названием вашей организации нажмите вкладку Security .
  3. На боковой панели в разделе "Безопасность" щелкните Оценки.
  4. Ознакомьтесь с ключевыми показателями оценки, включая:
    • Количество раскрытых секретов
    • Виды найденных секретов
    • Хранилища с наивысшим риском
    • Рекомендуемые меры по устранению

Примечание.

Отчёт SRA представляет собой момент в момент времени вашего секретного раскрытия до или во время внедрения GHSP.

Шаг 3: Сравните данные SRA с текущим обзором безопасности

Отчет SRA — это снимок в момент времени , сделанный до или во время запуска GHSP, а обзор безопасности показывает данные в реальном времени , которые обновляются по мере открытия и решения оповещений. Чтобы провести содержательное сравнение, нужно убедиться, что оба набора данных охватывают одни и те же типы секретов.

Фильтруйте по сопоставимым типам узоров

Отчёт SRA обнаруживает только шаблоны поставщиков и общие шаблоны. Однако обзор безопасности может включать результаты из пользовательских шаблонов, которые вы настроили после включения GHSP. Для точного сравнения фильтруйте обзор безопасности по тем же типам шаблонов, которые охватывает SRA.

Использование пользовательского интерфейса

Во вкладке « Риски » обзора безопасности используйте панель фильтра, чтобы сузить результаты только до провайдеров и универсальных шаблонов, исключая пользовательские шаблоны.

Использование API

В качестве альтернативы можно использовать REST API для программного извлечения оповещений, отфильтрованных по типу секрета. Например, указать только по умолчанию (провайдера) Оповещения о сканировании секретов для репозитория:

Shell
gh api \
  -H "Accept: application/vnd.github+json" \
  /orgs/ORG/secret-scanning/alerts --paginate

Это возвращает оповещения только для шаблонов по умолчанию. Чтобы включить общие шаблоны в результаты, передайте конкретные имена токенов с помощью параметра secret_type .

Дополнительные сведения см. в разделе Конечные точки REST API для проверки секретов.

Постройте своё сравнение

  1. Используя отфильтрованные данные, создайте таблицу сравнения с такими ключевыми метриками:

    Единица измеренияОтчёт SRA (Базовый)Обзор текущей безопасности (отфильтрованный)Change
    Полные раскрытые секреты[Номер SRA][Текущий номер][Разница]
    Критические оповещения[Номер SRA][Текущий номер][Разница]
    Затронутые хранилища[Номер SRA][Текущий номер][Разница]

  2. Рассчитайте процентное изменение по каждой метрике:

    • Положительные показатели воздействия: Уменьшение общего числа раскрытых секретов, меньшее количество критических предупреждений
    • Области для улучшения: Появляются новые оповещения, конкретные репозитории с растущими тенденциями

  3. Обратите внимание на значительные различия в:

    • Обнаруженные секретные типы
    • Покрытие репозиториев
    • Показатели разрешения оповещений

Даже без отчета SRA вы можете оценить эффективность GHSP, анализируя тенденции в обзоре безопасности.

  1. На GitHubперейдите на главную страницу организации.

  2. Под названием вашей организации нажмите вкладку Security .

  3. Во вкладке « Риски » обзора безопасности посмотрите график Оповещения о сканировании секретов трендов с течением времени.

  4. Выявляйте закономерности:

    • Тенденция снижения: Указывает на успешную рекультивацию и профилактику
    • Плато: Это может указывать на устойчивое состояние или необходимость повышения осознанности
    • Растущая тенденция: Может указывать на расширение покрытия обнаружения или новое секретное введение

  5. Кликните на отдельные репозитории, чтобы подробно изучить конкретные детали оповещений.

  6. Ознакомьтесь с показателем разрешения оповещений:

    • Перейдите к Security вкладке вашей организации.
    • В разделе «Выводы» нажмите Secret scanning.
    • Проверьте, сколько оповещений было закрыто по сравнению с тем, сколько оставшихся открытыми.
    • Выберите тип оповещения, который вас интересует.
    • Оцените среднее время до разрешения.

Шаг 5: Интерпретировать результаты и предпринять меры

Основываясь на вашем анализе, определите следующие шаги.

  • Документируйте улучшение, чтобы продемонстрировать ценность GHSP
  • Определите успешные практики для повторения в других репозиториях
  • Рассмотрите возможность расширения покрытия GHSP на дополнительные хранилища или организации

Если вы видите области для улучшения

  • Проверяйте репозитории с увеличением оповещений или замедленным разрешением
  • Обеспечение дополнительного обучения командам разработки
  • Оцените, нужно ли настроить пользовательские шаблоны
  • Проверьте, включена ли защита от push, чтобы предотвратить появление новых секретов

Постоянный мониторинг

  • Планируйте регулярные проверки (еженедельно или ежемесячно) обзора безопасности
  • Настройте уведомления для новых Оповещения о сканировании секретов
  • Отслеживайте метрики во времени для демонстрации постоянного улучшения

Дополнительные материалы