Bewertung der Auswirkungen des GitHub Geheimnisschutzes

Messen Sie, wie GitHub Secret Protection die geheime Exposition in Ihrer Organisation reduziert wird, damit Sie Werte demonstrieren und Bereiche identifizieren können, um Ihren Sicherheitsstatus zu stärken.

In diesem Artikel

Einführung

Nach der Aktivierung GitHub Secret Protection (GHSP) für Ihre Organisation sollten Sie deren Auswirkungen bewerten und verstehen, wie sie Ihre Organisation schützt. Dieses Tutorial führt Sie durch den Zugriff auf geheimnisbezogene Daten und die Interpretation der Ergebnisse zur Leistungsmessung von GHSP.

In diesem Tutorial lernen Sie Folgendes:

  • Zugriff auf die Sicherheitsübersicht Ihrer Organisation, um secret scanning Daten anzuzeigen
  • Überprüfung des SRA-Berichts secret risk assessment
  • Vergleichen und Analysieren der Daten zur Bewertung der Auswirkungen von GHSP

Wenn Sie vor ihrem GHSP-Rollout keinen historischen SRA-Bericht haben, können Sie die Effektivität von GHSP dennoch bewerten. Fahren Sie mit Schritt 4 fort: Analysieren von Sicherheitsübersichtsdatentrends.

Voraussetzungen

  • Sie müssen die Rolle "Organisationsbesitzer" oder "Sicherheitsmanager" haben.
  • Secret Protection muss für Ihre Organisation aktiviert sein.

Schritt 1: Zugreifen auf die Sicherheitsübersicht auf Organisationsebene

Die Sicherheitsübersicht bietet Echtzeitdaten zu Warnungen zur Geheimnisüberprüfung Ihrer gesamten Organisation.

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.
  2. Klicken Sie unter dem Namen Ihrer Organisation auf die Security and quality Registerkarte.
  3. Klicken Sie auf der Seite "Sicherheitsübersicht" auf die Registerkarte " Risiko ", um geheime Scandaten anzuzeigen. Die Übersicht zeigt:
    • Gesamtanzahl der offenen Warnungen zur Geheimnisüberprüfung
    • Warnungstrends im Laufe der Zeit
    • Aufschlüsselung nach Repository
    • Warnungsschweregradverteilung

Schritt 2: Anzeigen des secret risk assessment Berichts

Wenn Sie zuvor einen SRA-Bericht ausgeführt haben, können Sie auf den Bericht zugreifen, um einen Basisplan einzurichten.

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.
  2. Klicken Sie unter dem Namen Ihrer Organisation auf die Security and quality Registerkarte.
  3. Klicke in der Randleiste unter „Security“ auf Assessments.
  4. Überprüfen Sie die wichtigsten Metriken aus der Bewertung, einschließlich:
    • Anzahl der erkannten offengelegten Geheimnisse
    • Gefundene Geheimnistypen
    • Repositorys mit dem höchsten Risiko
    • Empfohlene Abhilfemaßnahmen

Hinweis

Der SRA-Bericht stellt eine Punkt-in-Time-Momentaufnahme Ihrer geheimen Exposition vor oder während der GHSP-Implementierung dar.

Schritt 3: Vergleichen von SRA-Daten mit aktueller Sicherheitsübersicht

Der SRA-Bericht ist eine zeitpunktbezogene Momentaufnahme, die vor oder während Ihres GHSP-Rollouts erstellt wurde, während in der Sicherheitsübersicht Echtzeitdaten angezeigt werden, die aktualisiert werden, wenn Warnungen geöffnet und aufgelöst werden. Um einen aussagekräftigen Vergleich zu erzielen, müssen Sie sicherstellen, dass beide Datasets dieselben geheimen Typen abdecken.

Filtern nach vergleichbaren Mustertypen

Der SRA-Bericht erkennt nur Anbietermuster und generische Muster. Die Sicherheitsübersicht kann jedoch auch Ergebnisse aus benutzerdefinierten Mustern enthalten, die Sie seit der Aktivierung von GHSP konfiguriert haben. Um einen genauen Vergleich sicherzustellen, filtern Sie die Sicherheitsübersicht nach den gleichen Mustertypen, die die SRA abdeckt.

Verwenden der Benutzeroberfläche

Verwenden Sie auf der Registerkarte "Sicherheitsübersicht Risiko " die Filterleiste, um Ergebnisse nur auf Anbieter und generische Muster einzugrenzen, ohne benutzerdefinierte Muster.

Verwenden der API

Alternativ können Sie die REST-API verwenden, um nach geheimen Typen gefilterte Warnungen programmgesteuert abzurufen. Um beispielsweise nur den Standardanbieter Warnungen zur Geheimnisüberprüfung für ein Repository aufzulisten:

Shell
gh api \
  -H "Accept: application/vnd.github+json" \
  /orgs/ORG/secret-scanning/alerts --paginate

Dadurch werden nur Warnungen für Standardmuster zurückgegeben. Um auch generische Muster in Ihre Ergebnisse einzuschließen, übergeben Sie die spezifischen Tokennamen mithilfe des secret_type Parameters.

Weitere Informationen findest du unter REST-API-Endpunkte für das Secret Scanning.

Erstellen Ihres Vergleichs

  1. Erstellen Sie mithilfe der gefilterten Daten eine Vergleichstabelle mit den folgenden Schlüsselmetriken:

    MetricSRA-Bericht (Grundlage)Aktuelle Sicherheitsübersicht (gefiltert)Change
    Gesamtzahl der offengelegten Geheimnisse[SRA-Nummer][Aktuelle Zahl][Unterschied]
    Kritische Warnungen[SRA-Nummer][Aktuelle Zahl][Unterschied]
    Betroffene Repositorys[SRA-Nummer][Aktuelle Zahl][Unterschied]

  2. Berechnen sie die prozentuale Änderung für jede Metrik:

    • Indikatoren für positive Auswirkungen: Reduzierung der Gesamtzahl der offengelegten Geheimschlüssel, weniger kritische Warnungen
    • Verbesserungsbereiche: Neue Warnungen werden angezeigt, bestimmte Repositorys mit steigenden Trends

  3. Beachten Sie alle wesentlichen Unterschiede in:

    • Geheime Typen, die erkannt werden
    • Abdeckung des Repositories
    • Alarmauflösungsraten

Auch ohne einen SRA-Bericht können Sie die GHSP-Effektivität bewerten, indem Sie Trends in der Sicherheitsübersicht analysieren.

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicken Sie unter dem Namen Ihrer Organisation auf die Security and quality Registerkarte.

  3. Sehen Sie sich auf der Registerkarte "Sicherheitsübersicht Risiko " das Trenddiagramm an, das im Laufe der Zeit angezeigt wird Warnungen zur Geheimnisüberprüfung .

  4. Identifizieren von Mustern:

    • Rückläufiger Trend: Gibt eine erfolgreiche Behebung und Verhinderung an.
    • Plateau: Kann auf einen stabilen Zustand hinweisen oder einen Bedarf an erhöhter Aufmerksamkeit anzeigen.
    • Steigender Trend: Kann auf eine erhöhte Erkennungsabdeckung oder neue geheime Einführung hinweisen

  5. Klicken Sie auf einzelne Repositorys, um einen Drilldown zu bestimmten Warnungsdetails zu erhalten.

  6. Überprüfen Sie die Alarmauflösungsrate:

    • Navigieren Sie zur Security and quality Registerkarte für Ihre Organisation.
    • Klicken Sie unter "Ergebnisse" auf Secret scanning.
    • Überprüfen Sie, wie viele Warnungen geschlossen wurden, und wie viele Warnungen geöffnet bleiben.
    • Wählen Sie den Benachrichtigungstyp aus, an dem Sie interessiert sind.
    • Bewerten Sie die durchschnittliche Zeit für die Lösung.

Schritt 5: Interpretieren der Ergebnisse und Ergreifen von Maßnahmen

Ermitteln Sie basierend auf Ihrer Analyse die nächsten Schritte.

  • Dokumentation der Verbesserung zur Veranschaulichung des GHSP-Werts
  • Identifizieren erfolgreicher Methoden für die Replikation in anderen Repositorys
  • Erwägen Sie die Erweiterung der GHSP-Abdeckung auf zusätzliche Repositorys oder Organisationen.

Wenn Sie Verbesserungsbereiche sehen

  • Überprüfung von Repositorys mit zunehmenden Warnmeldungen oder langsamen Bearbeitungszeiten
  • Bereitstellen zusätzlicher Schulungen für Entwicklungsteams
  • Bewerten, ob benutzerdefinierte Muster konfiguriert werden müssen
  • Überprüfen, ob pushschutz aktiviert ist, um zu verhindern, dass neue geheime Schlüssel eingeführt werden

Fortlaufende Überwachung

  • Planen regelmäßiger Überprüfungen (wöchentlich oder monatlich) der Sicherheitsübersicht
  • Benachrichtigungen für neue Warnungen zur Geheimnisüberprüfung einrichten
  • Nachverfolgen von Metriken im Laufe der Zeit, um eine kontinuierliche Verbesserung zu veranschaulichen

Weiterführende Lektüre