Avaliando o impacto da Proteção Secreta GitHub

Meça como GitHub Secret Protection reduz a exposição secreta em toda a sua organização, para que você possa demonstrar valor e identificar áreas para fortalecer sua postura de segurança.

Neste artigo

Introdução

Depois de habilitar GitHub Secret Protection (GHSP) para sua organização, você desejará avaliar seu impacto e entender como ele está protegendo sua organização. Este tutorial orienta você a acessar dados relacionados a segredos e interpretar os resultados para medir o desempenho do GHSP.

Neste tutorial, você aprenderá como:

  • Acessar a visão geral de segurança da sua organização para exibir secret scanning dados
  • Examinar o relatório (SRA) secret risk assessment
  • Comparar e analisar os dados para avaliar o impacto do GHSP

Se você não tiver um relatório histórico da SRA antes da distribuição do GHSP, ainda poderá avaliar a eficácia do GHSP. Pule para a Etapa 4: analisar tendências de dados de visão geral de segurança.

Pré-requisitos

  • Você precisa ter a função de proprietário ou gerente de segurança da organização.
  • Secret Protection deve ser habilitado para sua organização.

Etapa 1: Acessar a visão geral de segurança no nível da organização

A visão geral de segurança fornece dados em tempo real sobre alertas de escaneamento de segredos em toda a sua organização.

  1. Em GitHub, acesse a página principal da organização.
  2. No nome da sua organização, clique na Security aba.
  3. Na página visão geral de segurança, clique na guia Risco para exibir dados secretos de verificação. A visão geral mostra:
    • Número total de abertos alertas de escaneamento de segredos
    • Tendências de alerta ao longo do tempo
    • Detalhamento por repositório
    • Distribuição de severidade de alerta

Etapa 2: Exibir seu secret risk assessment relatório

Se você executou anteriormente um relatório SRA, pode acessar o relatório para estabelecer uma linha de base.

  1. Em GitHub, acesse a página principal da organização.
  2. No nome da sua organização, clique na Security aba.
  3. Na barra lateral, em "Security", clique em Assessments.
  4. Examine as principais métricas da avaliação, incluindo:
    • Número de segredos expostos detectados
    • Tipos de segredos encontrados
    • Repositórios com o maior risco
    • Ações de correção recomendadas

Observação

O relatório SRA fornece um registro de um momento específico da exposição de segredos antes ou durante a implementação do GHSP.

Etapa 3: Comparar dados SRA com a visão geral de segurança atual

O relatório SRA é um instantâneo de um momento específico feito antes ou durante a implementação do GHSP, enquanto a visão geral de segurança mostra dados em tempo real que são atualizados à medida que os alertas são abertos e resolvidos. Para fazer uma comparação significativa, você precisa garantir que ambos os conjuntos de dados cubram os mesmos tipos de segredo.

Filtrar para tipos de padrão comparáveis

O relatório SRA detecta apenas padrões de provedor e padrões genéricos. No entanto, a visão geral de segurança também pode incluir resultados de padrões personalizados que você configurou desde que habilitou o GHSP. Para garantir uma comparação precisa, filtre a visão geral de segurança para os mesmos tipos de padrão que a SRA aborda.

Usando a IU

Na guia Risco de visão geral de segurança, use a barra de filtros para restringir apenas os resultados aos padrões de provedor e genéricos, excluindo padrões personalizados.

Usando a API

Como alternativa, você pode usar a API REST para recuperar programaticamente alertas filtrados por tipo secreto. Por exemplo, para listar apenas o padrão (provedor) alertas de escaneamento de segredos para um repositório:

Shell
gh api \
  -H "Accept: application/vnd.github+json" \
  /orgs/ORG/secret-scanning/alerts --paginate

Isso retorna alertas somente para padrões padrões. Para incluir também padrões genéricos em seus resultados, passe os nomes de token específicos usando o secret_type parâmetro.

Para obter mais informações, consulte Pontos de extremidade da API REST para verificação de segredos.

Construa a sua comparação

  1. Usando os dados filtrados, crie uma tabela de comparação com estas principais métricas:

    MétricaRelatório SRA (Linha de Base)Visão geral de segurança atual (Filtrado)Change
    Total de segredos expostos[Número SRA][Número atual][Diferença]
    Alertas críticos[Número SRA][Número atual][Diferença]
    Repositórios afetados[Número SRA][Número atual][Diferença]

  2. Calcule a alteração percentual para cada métrica:

    • Indicadores de impacto positivos: Redução no total de segredos expostos, menos alertas críticos
    • Áreas de melhoria: Novos alertas aparecendo, repositórios específicos com tendências crescentes

  3. Observe quaisquer diferenças significativas em:

    • Tipos secretos sendo detectados
    • Cobertura do repositório
    • Taxas de resolução de alertas

Mesmo sem um relatório SRA, você pode avaliar a eficácia do GHSP analisando tendências na visão geral de segurança.

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da sua organização, clique na Security aba.

  3. Na guia Risco de visão geral de segurança, examine o gráfico de tendências mostrado alertas de escaneamento de segredos ao longo do tempo.

  4. Identificar padrões:

    • Tendência de declínio: Indica correção e prevenção bem-sucedidas
    • Planalto: Pode sugerir estado estável ou necessidade de maior conscientização
    • Tendência crescente: Pode indicar maior cobertura de detecção ou nova introdução secreta

  5. Clique em repositórios individuais para detalhar detalhes específicos do alerta.

  6. Examine a taxa de resolução de alertas:

    • Navegue até a seção Security da sua organização.
    • Em "Descobertas", clique em Secret scanning.
    • Verifique quantos alertas foram fechados em comparação com o número de alertas que permanecem abertos.
    • Selecione o tipo de alerta no qual você está interessado.
    • Avaliar o tempo médio de resolução.

Etapa 5: Interpretar os resultados e tomar medidas

Com base em sua análise, determine as próximas etapas.

  • Documente a melhoria para demonstrar o valor de GHSP
  • Identificar práticas bem-sucedidas para replicar em outros repositórios
  • Considere expandir a abrangência do GHSP para outros repositórios ou organizações.

Se você perceber áreas que podem ser melhoradas

  • Examinar repositórios com alertas crescentes ou tempos de resolução lentos
  • Fornecer treinamento adicional para equipes de desenvolvimento
  • Avaliar se os padrões personalizados precisam ser configurados
  • Verifique se a proteção por push está habilitada para impedir que novos segredos sejam introduzidos

Monitoramento contínuo

  • Agendar revisões regulares (semanalmente ou mensais) da visão geral de segurança
  • Configurar notificações para novas alertas de escaneamento de segredos
  • Acompanhar as métricas ao longo do tempo para demonstrar melhoria contínua

Leitura adicional