Evaluación del impacto de la protección de secretos de GitHub

Mida cómo GitHub Secret Protection reduce la exposición de secretos en toda la organización, por lo que puede demostrar valor e identificar áreas para reforzar su posición de seguridad.

En este artículo

Introducción

Después de habilitar GitHub Secret Protection (GHSP) para su organización, querrá evaluar su impacto y comprender cómo protege su organización. Este tutorial le guía a través del acceso a datos relacionados con secretos e interpreta los resultados para medir el rendimiento de GHSP.

En este tutorial, aprenderá a:

  • Accede a la visión general de la seguridad de la organización para ver secret scanning datos
  • Revisar el informe secret risk assessment (SRA)
  • Comparación y análisis de los datos para evaluar el impacto de GHSP

Si no tiene un informe histórico de SRA antes de la implementación de GHSP, todavía puede evaluar la eficacia de GHSP. Vaya al paso 4: Análisis de tendencias de datos de información general de seguridad.

Prerequisites

  • Debe tener el rol de propietario de la organización o administrador de seguridad.
  • Secret Protection debe estar habilitado para su organización.

Paso 1: Acceso a la información general de seguridad de nivel de organización

La información general de seguridad proporciona datos en tiempo real sobre alertas de detección de secretos toda la organización.

  1. En GitHub, navega a la página principal de tu organización.
  2. Debajo del nombre de su organización, haga clic en la pestaña Security.
  3. En la página de resumen de seguridad, haz clic en la pestaña Riesgo para ver los datos del escaneo de secretos. En la información general se muestra lo siguiente:
    • Número total de aperturas alertas de detección de secretos
    • Tendencias de alertas a lo largo del tiempo
    • Desglose por repositorio
    • Distribución de gravedad de alerta

Paso 2: Visualizar el informe secret risk assessment

Si anteriormente ejecutó un informe SRA, puede acceder al informe para establecer una línea base.

  1. En GitHub, navega a la página principal de tu organización.
  2. Debajo del nombre de su organización, haga clic en la pestaña Security.
  3. En la barra lateral, en "Security", haz clic en Assessments.
  4. Revise las métricas clave de la evaluación, entre las que se incluyen:
    • Número de secretos expuestos detectados
    • Tipos de secretos encontrados
    • Repositorios con el mayor riesgo
    • Acciones de corrección recomendadas

Nota:

El informe SRA representa una instantánea a un momento dado de la exposición secreta antes o durante la implementación de GHSP.

Paso 3: Comparación de los datos de SRA con la información general de seguridad actual

El informe SRA es una captura momentánea tomada antes o durante la implementación de GHSP, mientras que la información general de seguridad muestra los datos en tiempo real que se actualizan a medida que se abren y resuelven las alertas. Para realizar una comparación significativa, debe asegurarse de que ambos conjuntos de datos cubren los mismos tipos de secretos.

Filtro a tipos de patrón comparables

El informe SRA solo detecta patrones de proveedor y patrones genéricos. Sin embargo, la información general de seguridad también puede incluir resultados de patrones personalizados que ha configurado desde la habilitación de GHSP. Para garantizar una comparación precisa, filtre la visión general de seguridad según los mismos tipos de patrón que cubre el SRA.

Uso de la interfaz de usuario

En la pestaña Riesgo de información general de seguridad, use la barra de filtros para restringir los resultados solo al proveedor y a los patrones genéricos, excepto los patrones personalizados.

Uso de la API

Como alternativa, puede usar la API REST para recuperar mediante programación alertas filtradas por tipo de secreto. Por ejemplo, para enumerar solo el valor predeterminado (proveedor) alertas de detección de secretos de un repositorio:

Shell
gh api \
  -H "Accept: application/vnd.github+json" \
  /orgs/ORG/secret-scanning/alerts --paginate

Esto devuelve alertas solo para patrones predeterminados. Para incluir también patrones genéricos en los resultados, pase los nombres de token específicos mediante el secret_type parámetro .

Para obtener más información, vea Puntos de conexión de la API REST para el examen de secretos.

Crea tu comparación

  1. Con los datos filtrados, cree una tabla de comparación con estas métricas clave:

    MétricaInforme SRA (línea de base)Información general de seguridad actual (filtrado)Change
    Total de secretos expuestos[Número SRA][Número actual][Diferencia]
    Alertas críticas[Número SRA][Número actual][Diferencia]
    Repositorios afectados[Número SRA][Número actual][Diferencia]

  2. Calcule el cambio de porcentaje para cada métrica:

    • Indicadores de impacto positivo: Reducción del total de secretos expuestos, menos alertas críticas
    • Áreas para mejorar: Nuevas alertas que aparecen, repositorios específicos con tendencias crecientes

  3. Tenga en cuenta las diferencias significativas en:

    • Tipos de secretos que se detectan
    • Cobertura del repositorio
    • Tasas de resolución de alertas

Incluso sin un informe SRA, puede evaluar la eficacia de GHSP mediante el análisis de las tendencias en la visión general de seguridad.

  1. En GitHub, navega a la página principal de tu organización.

  2. Debajo del nombre de su organización, haga clic en la pestaña Security.

  3. En la pestaña Riesgo de información general de seguridad, examine el gráfico de tendencias que se muestra alertas de detección de secretos con el tiempo.

  4. Identificar patrones:

    • Tendencia de disminución: Indica la corrección y prevención correctas.
    • Meseta: Puede sugerir un estado estable o una necesidad de aumentar la conciencia de la situación
    • Tendencia creciente: Puede indicar una mayor cobertura de detección o la introducción de nuevos secretos.

  5. Haga clic en repositorios individuales para explorar en profundidad detalles de alerta específicos.

  6. Revise la tasa de resolución de alertas:

    • Acceda a la pestaña de Security de su organización.
    • En "Resultados", haga clic en Secret scanning.
    • Compruebe cuántas alertas se han cerrado frente al número de alertas que permanecen abiertas.
    • Seleccione el tipo de alerta que le interesa.
    • Evaluar el tiempo medio de resolución.

Paso 5: Interpretar los resultados y tomar medidas

En función del análisis, determine los pasos siguientes.

  • Documentar la mejora para demostrar el valor de GHSP
  • Identificación de procedimientos correctos para replicar en otros repositorios
  • Considere la posibilidad de expandir la cobertura de GHSP a repositorios u organizaciones adicionales

Si está observando áreas de mejora

  • Revisión de repositorios con alertas crecientes o tiempos de resolución lentos
  • Proporcionar aprendizaje adicional a los equipos de desarrollo
  • Evaluar si es necesario configurar patrones personalizados
  • Compruebe si la protección de inserción está habilitada para evitar que se introduzcan nuevos secretos.

Supervisión continua

  • Programar revisiones periódicas (semanales o mensuales) de la información general de seguridad
  • Configura notificaciones para nuevos alertas de detección de secretos
  • Realizar un seguimiento de las métricas a lo largo del tiempo para demostrar la mejora continua

Lectura adicional