In diesem Leitfaden wird davon ausgegangen, dass Sie eine Testversion von GitHub Advanced Security für ein bestehendes Unternehmenskonto oder ein Testkonto GitHub geplant und gestartet haben. Weitere Informationen findest du unter Planung für die Testversion von GitHub Advanced Security.
Einleitung
GitHub Secret Protection Features funktionieren in privaten und internen Repositorys auf die gleiche Weise wie in allen öffentlichen Repositorys. Dieser Artikel konzentriert sich auf die zusätzlichen Funktionen, die Sie verwenden können, um Ihr Unternehmen vor Sicherheitslecks zu schützen, wenn Sie folgendes verwenden GitHub Secret Protection:
- Ermittle zusätzliche Zugriffstoken, die du verwendest, indem du benutzerdefinierte Muster definierst.
- Erkennen potenzieller Kennwörter mithilfe von KI
- Steuern und Überwachen des Umgehungsprozesses für Pushschutz und Warnungen zur Geheimnisüberprüfung.
- Aktivieren Sie Gültigkeitsprüfungen für verfügbar gemachte Token.
- Erstellen Sie Sicherheitskampagnen, in denen Sicherheitsspezialisten und Entwickler zusammenarbeiten können, um technische Schulden effektiv zu reduzieren.
Informationen zum Ausführen einer kostenlosen geheimen Risikobewertung finden Sie unter Generieren einer ersten geheimen Risikobewertung in der GitHub Enterprise Cloud Dokumentation.
Wenn Sie den Code in Ihrer Organisation bereits auf geheime Geheimschlüssel überprüft haben, indem Sie die kostenlose geheime Risikobewertung verwenden, sollten Sie diese Daten auch vollständiger untersuchen, indem Sie die zusätzlichen Ansichten auf der Security and quality Registerkarte für die Organisation verwenden.
Ausführliche Informationen zu den verfügbaren Features finden Sie unter GitHub Secret Protection.
Sicherheitskonfiguration für Secret Protection
Die meisten Unternehmen entscheiden sich dafür, Secret Protection mit Pushschutz für alle Repositories zu aktivieren, indem sie Sicherheitskonfigurationen mit aktivierten Funktionen anwenden. Dadurch wird sichergestellt, dass Repositorys auf Zugriffstoken überprüft werden, die bereits zu GitHub hinzugefügt wurden, und es wird zudem gekennzeichnet, wenn Benutzer dabei sind, Tokens in GitHub preiszugeben. Informationen zum Erstellen einer Sicherheitskonfiguration auf Unternehmensebene und zum Anwenden auf Ihre Testrepositorys finden Sie unter Aktivieren von Sicherheitsfunktionen in deinem Test-Unternehmen.
Zugriff gewähren zur Ansicht der Ergebnisse von secret scanning
Standardmäßig können nur der Repositoryadministrator und der Organisationsbesitzer alle secret scanning Warnungen in ihrem Bereich anzeigen. Sie sollten allen Organisationsteams und Benutzenden, die während der Ausführung der Testversion auf Benachrichtigungen zugreifen möchten, die vordefinierte Sicherheitsmanager-Rolle zuweisen. Sie sollten diese Rolle auch dem Besitzer des Unternehmenskontos für jede Organisation in der Testversion zuweisen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsmanagern in deiner Organisation.
Sie können eine Zusammenfassung aller in den Organisationen Ihres Testunternehmens gefundenen Ergebnisse auf der Security and quality Registerkarte für das Unternehmen anzeigen. Es gibt auch separate Ansichten für jeden Sicherheitswarnungstyp. Weitere Informationen findest du unter Einblicke in die Sicherheit anzeigen.
Ermitteln zusätzlicher Zugriffstoken
Sie können benutzerdefinierte Muster erstellen, um zusätzliche Zugriffstoken auf Repository-, Organisations- und Unternehmensebene zu identifizieren. In den meisten Fällen sollten Sie benutzerdefinierte Muster auf Unternehmensebene definieren. Dies stellt sicher, dass die Muster im gesamten Unternehmen verwendet werden. Es vereinfacht auch die Verwaltung, wenn Sie ein Muster aktualisieren müssen, weil das Format für ein Token geändert wurde.
Nachdem Sie benutzerdefinierte Muster erstellt und veröffentlicht haben, schließen sowohl secret scanning als auch der Pushschutz die neuen Muster automatisch in allen Scans ein. Ausführliche Informationen zum Erstellen benutzerdefinierter Muster finden Sie unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.
Verwenden von KI zum Erkennen potenzieller Kennwörter
Auf der Unternehmensebene haben Sie die volle Kontrolle darüber, ob die Verwendung von KI zum Erkennen von Geheimnissen zulässig ist, die nicht mittels regulärer Ausdrücke erkannt werden können (auch als „generische Geheimnisse“ oder „Nicht-Anbieter-Muster“ bezeichnet).
- Sie können die Funktion für das gesamte Unternehmen aktivieren oder deaktivieren.
- Sie können eine Richtlinie festlegen, um die Steuerung der Funktion auf Organisations- und Repositoryebene zu blockieren.
- Sie können eine Richtlinie festlegen, um die Steuerung der Funktion durch Organisationsbesitzer oder Repositoryverwalter zuzulassen.
Ähnlich wie bei benutzerdefinierten Mustern wird bei Aktivierung der KI-Erkennung sowohl secret scanning als auch der Push-Schutz automatisch in allen Scans mit der KI-Erkennung genutzt. Informationen zur Steuerung auf Unternehmensebene finden Sie unter Zusätzliche Einstellungen für Secret Scanning für dein Unternehmen festlegen und Implementierung von Richtlinien zur Codesicherheit und -analyse für Ihr Unternehmen.
Steuern und Überwachen des Umgehungsprozesses
Wenn der Pushschutz einen Push-Vorgang zu GitHub in einem öffentlichen Repository ohne GitHub Secret Protection blockiert, hat der Benutzer zwei einfache Möglichkeiten: das Steuerelement zu umgehen oder den hervorgehobenen Inhalt aus dem Zweig und seinem Verlauf zu entfernen. Wenn sie den Pushschutz umgehen, wird automatisch eine secret scanning Warnung erstellt. Auf diese Weise können Entwickler ihre Arbeit schnell wieder aufnehmen und gleichzeitig ein Prüfprotokoll für die von secret scanning identifizierten Inhalte bereitstellen.
Größere Teams sollten in der Regel eine engmaschigere Kontrolle über die potenzielle Veröffentlichung von Zugriffstoken und andere Geheimnisse pflegen. Mit GitHub Secret Protection, können Sie eine Prüfergruppe definieren, um Anforderungen zur Umgehung des Pushschutzes zu genehmigen, wodurch das Risiko reduziert wird, dass ein Entwickler versehentlich ein Token verliert, das noch aktiv ist. Sie können auch eine Prüfergruppe definieren, um Anfragen zum Verwerfen Warnungen zur Geheimnisüberprüfung zu genehmigen.
Reviewer werden in einer Sicherheitskonfiguration auf Organisationsebene oder in den Einstellungen für ein Repository definiert. Weitere Informationen finden Sie unter Info zur delegierten Umgehung für den Pushschutz.
Aktivieren von Gültigkeitsprüfungen
Sie können Gültigkeitsprüfungen aktivieren, um zu überprüfen, ob erkannte Token weiterhin auf Repository-, Organisations- und Unternehmensebene aktiv sind. Im Allgemeinen lohnt es sich, dieses Feature im gesamten Unternehmen mithilfe von Sicherheitskonfigurationen auf Unternehmens- oder Organisationsebene zu aktivieren. Weitere Informationen finden Sie in der Dokumentation unter GitHub Enterprise Cloud.
Einbinden von Entwickelnden in Vorgänge zur Gewährleistung der Sicherheit
Sicherheitskampagnen bieten eine Möglichkeit für Sicherheitsteams, mit Entwickelnden in Kontakt zu treten, um technische Schulden im Sicherheitsbereich zu reduzieren. Sie bieten auch eine praktische Möglichkeit, Bildung im Geheimnisspeicher mit Beispielen für offengelegte Geheimnisse zu kombinieren, die deine Entwickelnden beheben können. Weitere Informationen finden Sie in der Dokumentation unter und GitHub Enterprise Cloud.
Nächste Schritte
Wenn Sie die zusätzlichen Steuerelemente Secret Protection aktiviert haben, können Sie sie anhand Ihrer Geschäftsanforderungen testen und sie weiter erkunden. Möglicherweise sind Sie auch bereit, sich mit den verfügbaren GitHub Code SecurityOptionen vertraut zu machen.
-
[AUTOTITLE](/code-security/trialing-github-advanced-security/explore-trial-code-scanning) -
[Erzwingen GitHub Advanced Security im großen Maßstab](https://wellarchitected.github.com/library/application-security/recommendations/enforce-ghas-at-scale/)