解释机密风险评估结果

了解你的 secret risk assessment 结果,并确定泄漏修正的优先级。

谁可以使用此功能?

Organization owners, security managers, and users with the admin role

在本文中

介绍

在本教程中,你将解释机密风险评估结果,并了解如何:

  • 了解仪表板上的风险指标
  • 识别高风险机密泄漏
  • 确定用于修正的机密的优先级

先决条件

必须生成 secret risk assessment 报表并等待扫描完成。 请参阅“为您的组织运行保密风险评估”。

步骤 1:了解仪表板指标

评估完成后,请查看仪表板顶部的关键指标:

  • 机密总数:组织中发现的机密泄漏总数
  • 公共泄漏在公共 存储库中找到的不同机密
  • 可预防的泄漏:保护措施本可以阻止的泄漏

还可以通过从机密总数中减去公开泄露的数量来确定 专用存储库 中找到的机密数。 虽然修正这些机密并不重要,但如果有人获得对存储库的未经授权的访问,或者存储库被公开,它们仍然会带来风险。

步骤 2:了解机密类别

查看 “机密类别 ”部分,了解泄露 的机密类型

  • 供应商模式:已知服务的特定机密格式(AWS、Azure、 GitHub 令牌)
  • 泛型模式:通用机密格式,如私钥、API 密钥、密码

提供者模式通常更容易识别和撤销,因为可以确切地知道它们所属的服务。 泛型模式可能需要进行更多调查。

步骤 3:确定受影响的存储库数

使用泄漏指标检查 存储库 ,其中显示了有多少存储库包含机密泄漏。

如果 存储库的高百分比 包含泄漏,这可能表示:

  • 关于机密管理的广泛文化问题
  • 需要组织范围的培训
  • 缺少诸如推送保护之类的防护措施,在机密提交之前阻止其泄露。

如果只有 几个 存储库包含泄漏,则可以:

  • 专注于特定团队的整改工作
  • 使用泄漏信息确定哪些存储库是高风险区域

步骤 4:按类型查看泄露的机密

滚动到底部以查看详细的 机密类型 表,其中包括:

  • 机密类型:特定类型的机密
  • 不同存储库:有多少个不同的存储库包含此类型
  • 找到的机密:所有存储库中此机密类型的总数

该表自动按最高计数进行排序,帮助你确定最大的风险。

如果看到 许多相同类型的机密 (例如多个 AWS 密钥),则表示:

  • 开发人员可能不使用环境变量
  • 缺少有关机密管理的文档

了解指标后,请根据风险确定修正优先级。

最高优先级机密是 公共存储库中泄露的提供程序模式,因为它们是:

  • 可供 Internet 上的任何人访问
  • 识别和撤销通常更容易,因为你知道它们属于哪些服务

接下来,可以解决风险较低或需要更广泛努力补救的机密。 这些可以是:

  • 公共存储库中的泛型模式,可能需要调查才能识别它们所属的服务或系统
  • 专用存储库泄漏,表示风险较低,但仍应解决

最后,查找以下指标,这可能要求在泄漏修正之外进行额外的预防工作:

  • 存在泄漏的许多存储库:表明需要组织范围的培训和提高安全意识
  • 重复的机密类型:建议特定工作流或团队需要有针对性的干预
  • 常见机密类别:可能指向需要安全改进的特定 CI/CD 进程

后续步骤

了解机密暴露情况后,选择用于 GitHub Secret Protection 试点的存储库。 请参阅“选择试点存储库的最佳做法”。