评估GitHub机密保护的影响

衡量如何 GitHub Secret Protection 减少整个组织中的机密泄露,以便展示价值并确定加强安全状况的区域。

在本文中

介绍

为你的组织启用GitHub Secret Protection(GHSP)后,你需要评估它的影响,并了解它如何保护你的组织。 本教程将指导你访问与机密相关的数据并解释结果以衡量 GHSP 性能。

在本教程中,你将学习如何:

  • 访问组织的安全概述以查看 secret scanning 数据
  • secret risk assessment 查看 (SRA) 报告
  • 比较和分析数据以评估 GHSP 的影响

如果你在 GHSP 推出之前没有历史性的 SRA 报告,你仍然可以评估 GHSP 的有效性。 跳到 步骤 4:分析安全概述数据趋势

先决条件

  • 你需要具有组织所有者或安全经理角色。
  • Secret Protection 必须为组织启用。

步骤 1:访问组织级安全概述

安全概述提供有关整个组织的实时数据 机密扫描警报 。

  1. 在 GitHub 上,导航到组织的主页面。
  2. 在组织名称下,单击 Security and quality 该选项卡。
  3. 在安全概述页上,单击“ 风险 ”选项卡以查看机密扫描数据。 概述显示:
    • 打开总数 机密扫描警报
    • 一段时间内的警报趋势
    • 按存储库细分
    • 警报严重性分布

步骤 2:查看 secret risk assessment 报表

如果以前运行过 SRA 报表,则可以访问该报表以建立基线。

  1. 在 GitHub 上,导航到组织的主页面。
  2. 在组织名称下,单击 Security and quality 该选项卡。
  3. 在边栏的“Security”下,单击“ Assessments”****。
  4. 查看评估的关键指标,包括:
    • 检测到的公开机密数
    • 找到的机密类型
    • 风险最高的存储库
    • 建议的修正操作

注意

SRA 报告快照显示在 GHSP 项目实施之前或期间机密信息泄露的情况。

步骤 3:比较 SRA 数据与当前安全概述

SRA 报表是在 GHSP 推出之前或期间拍摄的时间点快照,而安全概述显示实时更新的数据,随着警报的打开和解决而更新。 若要进行有意义的比较,需要确保这两个数据集都涵盖相同的机密类型。

筛选出可比较的类型模式

SRA 报告仅检测 提供程序模式泛型模式。 但是,安全概述还可能包含自启用 GHSP 以来配置的自定义模式的结果。 若要确保进行准确的比较,请在安全概述中筛选出与 SRA 所涵盖的相同模式类型。

使用该 UI

在“安全概述 风险 ”选项卡中,使用筛选栏将结果缩小到提供程序和泛型模式,不包括任何自定义模式。

使用应用程序编程接口 (API)

或者,可以使用 REST API 以编程方式检索按机密类型筛选的警报。 例如,仅列出存储库中的默认项(服务提供商):机密扫描警报

Shell
gh api \
  -H "Accept: application/vnd.github+json" \
  /orgs/ORG/secret-scanning/alerts --paginate

这仅返回默认模式的警报。 若要在结果中包含泛型模式,请使用 secret_type 参数传递特定的令牌名称。

有关详细信息,请参阅“适用于机密扫描的 REST API 终结点”。

创建比较

  1. 使用筛选的数据,使用以下关键指标创建比较表:

    指标SRA 报告 (基准)当前安全概述 (已筛选)Change
    公开的机密总数[SRA编号][当前数字][差异]
    重要警报[SRA 编号][当前数字][差异]
    受影响的存储库[SRA 号码][当前数字][差异]

  2. 计算每个指标的百分比更改:

    • 积极影响指标: 减少公开的机密总数,减少关键警报
    • 改进方面: 出现新的警报,特定存储库呈上升趋势

  3. 请注意以下方面的任何显著差异:

    • 检测到的机密类型
    • 存储库覆盖范围
    • 警报解决率

即使没有 SRA 报告,也可以通过分析安全概述中的趋势来评估 GHSP 有效性。

  1. 在 GitHub 上,导航到组织的主页面。

  2. 在组织名称下,单击 Security and quality 该选项卡。

  3. 在“安全概述 风险 ”选项卡中,查看随时间推移显示 机密扫描警报 的趋势图。

  4. 识别规律:

    • 下降趋势: 指示成功的修正和预防
    • 高原: 可能表示系统进入了稳定状态或需要提高警觉
    • 上升趋势: 可能表示检测覆盖率增加或引入新的秘密

  5. 单击每个存储库以深入查看特定警报的详细信息。

  6. 查看警报解决率:

    • 导航至你所在组织的** Security and quality** 标签页。
    • 在“查找”下,单击 Secret scanning
    • 检查已关闭的警报数与保持打开状态的警报数。
    • 选择感兴趣的警报类型。
    • 评估平均解决时间。

步骤 5:解释结果并采取措施

根据分析确定后续步骤。

  • 记录改进以演示 GHSP 值
  • 确定跨其他存储库复制的成功做法
  • 考虑将 GHSP 覆盖范围扩展到其他存储库或组织

如果你看到需要改进的空间

  • 查看具有增加警报或缓慢解决时间的存储库
  • 为开发团队提供其他培训
  • 评估是否需要配置自定义模式
  • 检查是否启用了推送保护以防止引入新机密

持续监视

  • 安排定期评审安全概述(每周或每月)
  • 为新机密扫描警报设置通知
  • 跟踪一段时间内的指标,以演示持续改进

延伸阅读