解释机密风险评估结果

了解 secret risk assessment 的结果,并确定泄漏修正的优先级。

谁可以使用此功能?

Organization owners, security managers, and users with the admin role

本文内容

介绍

在本教程中,你将解释机密风险评估结果,并了解如何:

  • 了解仪表板上的风险指标
  • 识别高风险机密泄漏
  • 确定用于修正的机密的优先级

先决条件

您必须生成 secret risk assessment 报告并等待扫描完成。 请参阅“为您的组织运行保密风险评估”。

步骤 1:了解仪表板指标

评估完成后,请查看仪表板顶部的关键指标:

  •         **机密总数**:组织中发现的机密泄漏总数

  •         **公共泄漏**: **在公共** 存储库中找到的不同机密

  •         **可预防的泄漏**:保护措施本可以阻止的泄漏

还可以通过从机密总数中减去公开泄露的数量来确定 专用存储库 中找到的机密数。 虽然修正这些机密并不重要,但如果有人获得对存储库的未经授权的访问,或者存储库被公开,它们仍然会带来风险。

步骤 2:了解机密类别

查看 “机密类别 ”部分,了解泄露 的机密类型

  •         **提供程序模式**:已知服务的特定机密格式(AWS、Azure、GitHub 令牌)

  •         **泛型模式**:通用机密格式,如私钥、API 密钥、密码

提供者模式通常更容易识别和撤销,因为可以确切地知道它们所属的服务。 泛型模式可能需要进行更多调查。

步骤 3:确定受影响的存储库数

使用泄漏指标检查 存储库 ,其中显示了有多少存储库包含机密泄漏。

如果 存储库的高百分比 包含泄漏,这可能表示:

  • 关于机密管理的广泛文化问题
  • 需要组织范围的培训
  • 缺少诸如推送保护之类的防护措施,在机密提交之前阻止其泄露。

如果只有 几个 存储库包含泄漏,则可以:

  • 专注于特定团队的整改工作
  • 使用泄漏信息确定哪些存储库是高风险区域

步骤 4:按类型查看泄露的机密

滚动到底部以查看详细的 机密类型 表,其中包括:

  •         **机密类型**:特定类型的机密

  •         **不同存储库**:有多少个不同的存储库包含此类型

  •         **找到的机密**:所有存储库中此机密类型的总数

该表自动按最高计数进行排序,帮助你确定最大的风险。

如果看到 许多相同类型的机密 (例如多个 AWS 密钥),则表示:

  • 开发人员可能不使用环境变量
  • 缺少有关机密管理的文档

了解指标后,请根据风险确定修正优先级。

最高优先级机密是 公共存储库中泄露的提供程序模式,因为它们是:

  • 可供 Internet 上的任何人访问
  • 识别和撤销通常更容易,因为你知道它们属于哪些服务

接下来,可以解决存在较低风险的机密,或者需要进行更广泛的修正工作。 这些可以是:

  •         **公共存储库中的泛型模式**,可能需要调查才能识别它们所属的服务或系统

  •         **专用存储库泄漏**,表示风险较低,但仍应解决

最后,查找以下指标,这可能要求在泄漏修正之外进行额外的预防工作:

  •         **存在泄漏的许多存储库**:表明需要组织范围的培训和提高安全意识

  •         **重复的机密类型**:建议特定工作流或团队需要有针对性的干预

  •         **常见机密类别**:可能指向需要安全改进的特定 CI/CD 进程

后续步骤

GitHub Secret Protection 提供持续监视和推送保护,以帮助修正任何剩余的机密并防止将来发生泄漏。 为了帮助您评估 GitHub Secret Protection 是否适合您所在的组织,可以在启用该功能之前估算成本。 请参阅“估计机密保护的价格”。