Tipp
Dieser Artikel ist Teil einer Reihe über die Einführung GitHub Advanced Security in großem Maßstab. Den vorherigen Artikel dieser Reihe findest du unter Phase 1: Abstimmen deiner Rolloutstrategie und -ziele.
Vorbereiten der Aktivierung code scanning
Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codefehler zu finden. Alle von der Analyse ermittelten Probleme werden im Repository angezeigt. Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning).
Ein Rollout über Hunderte von Repositories kann schwierig sein, insbesondere wenn es ineffizient durchgeführt wird code scanning. Wenn du die folgenden Schritte befolgst, wird dein Rollout sowohl effizient als auch erfolgreich.
Vorbereiten von Teams für code scanning
Bereiten Sie zunächst Ihre Teams auf die Verwendung code scanningvor. Je mehr Teams code scanning verwenden, desto mehr Daten stehen Ihnen zur Verfügung, um Wiedergutmachungspläne voranzutreiben und den Fortschritt Ihres Rollouts zu überwachen.
Eine Einführung zu code scanningfinden Sie unter: * Informationen zu Codescans * Informationen zu Codeüberprüfungswarnungen * Bewertung von Code-Scanning-Warnungen für Ihr Repository
Ihr Kernfokus sollte darauf liegen, so viele Teams wie möglich auf die Nutzung von code scanning vorzubereiten. Sie können auch Teams ermutigen, angemessene Lösungen zu finden, es wird jedoch empfohlen, die Implementierung und Nutzung von code scanning gegenüber der Behebung von Problemen in dieser Phase zu priorisieren.
Aktivieren code scanning Ihrer Appliance
Bevor Sie mit Pilotprogrammen fortfahren und code scanning in Ihrem gesamten Unternehmen bereitstellen können, müssen Sie zuerst code scanning für Ihre Appliance aktivieren. Weitere Informationen finden Sie unter Konfigurieren der Codeüberprüfung für Ihre Anwendung.
Vorbereiten der Aktivierung secret scanning
Hinweis
Wenn ein Geheimnis in einem Repository entdeckt wird, das secret scanning aktiviert hat, benachrichtigt GitHub alle Benutzer mit Zugriff auf Sicherheitswarnungen für das Repository.
Bei der Kommunikation zwischen einem Projekt und einem externen Dienst wird ein Token oder ein privater Schlüssel zur Authentifizierung verwendet. Wenn du ein Geheimnis in ein Repository einfügst, kann jedermann mit Lesezugriff auf das Repository das Geheimnis verwenden, um mit deinen Privilegien auf den externen Dienst zuzugreifen. Secret scanning scannt Ihren gesamten Git-Verlauf auf allen in Ihren GitHub Repositorien vorhandenen Branches nach Geheimnissen und benachrichtigt Sie oder blockiert den Push, der das Geheimnis enthält. Weitere Informationen finden Sie unter Informationen zur Geheimnisüberprüfung.
Überlegungen beim Aktivieren von secret scanning
Die Aktivierung secret scanning auf Organisationsebene kann einfach sein, aber das Klicken auf "Alle aktivieren" auf Organisationsebene und das Auswählen der Option "Automatisch aktivieren secret scanning " für jedes neue Repository hat einige nachgeschaltete Auswirkungen, die Sie beachten sollten:
Lizenzverbrauch
Die Aktivierung secret scanning für alle Repositorys maximiert Ihre Nutzung von GitHub Advanced Security Lizenzen. Dies ist in Ordnung, wenn du über genügend Lizenzen für die aktuellen Committer für alle diese Repositorys verfügst. Wenn die Anzahl der aktiven Entwickler in den kommenden Monaten wahrscheinlich zunimmt, können Sie Ihr Lizenzlimit überschreiten und dann nicht in neu erstellten Repositorys verwenden secret scanning .
Anfängliches hohes Volumen erkannter Geheimnisse
Wenn Sie secret scanning in einer großen Organisation aktivieren, sollten Sie darauf vorbereitet sein, eine hohe Anzahl von Geheimnissen zu entdecken. Manchmal sind Organisationen damit überfordert, und der Alarm wird ausgelöst. Wenn Sie secret scanning in allen Repositories gleichzeitig einschalten möchten, planen Sie, wie Sie auf mehrere Warnungen in der gesamten Organisation reagieren.
Secret scanning kann für einzelne Repositorys aktiviert werden. Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/secret-scanning/enabling-secret-scanning-features/enabling-secret-scanning-for-your-repository).
Secret scanning kann auch für alle Repositorys in Ihrer Organisation aktiviert werden, wie oben beschrieben. Weitere Informationen zur Aktivierung für alle Repositories finden Sie unter [AUTOTITLE](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-security-and-analysis-settings-for-your-organization).
Benutzerdefinierte Muster für secret scanning
Secret scanningerkennt eine große Anzahl von Standardmustern, kann aber auch so konfiguriert werden, dass benutzerdefinierte Muster erkannt werden, z. B. geheime Formate, die für Ihre Infrastruktur einzigartig sind oder von Integratoren verwendet werden, die GitHubsecret scanning derzeit nicht erkannt werden. Weitere Informationen zu den unterstützten Secrets für Partner-Muster finden Sie unter [AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns).
Wenn Sie Ihre Repositorys überwachen und mit Sicherheits- und Entwicklerteams sprechen, erstellen Sie eine Liste der geheimen Typen, die Sie später zum Konfigurieren von benutzerdefinierten Mustern secret scanningverwenden werden. Weitere Informationen finden Sie unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.
Push-Schutz für secret scanning
Pushschutz für Organisationen und Repositorys secret scanning weist an, Pushes auf unterstützte geheime Schlüssel zu überprüfen , bevor geheime Schlüssel im Code festgeschrieben werden. Informationen darüber, welche Secrets unterstützt werden, findest du unter Unterstützte Scanmuster für Secrets.
Wenn ein Geheimnis in einem Push erkannt wird, wird dieser Push blockiert. Secret scanning listet alle erkannten Geheimnisse auf, damit der Autor diese überprüfen und entfernen oder, falls erforderlich, das Pushen dieser Geheimnisse erlauben kann. Secret scanning kann auch Pushes auf benutzerdefinierte Muster überprüfen.
Entwickler haben die Möglichkeit, den Push-Schutz zu umgehen, indem sie melden, dass ein Geheimnis falsch positiv ist, dass es in Tests verwendet wird oder dass es später behoben wird.
Wenn ein Mitwirkender einen Push-Schutzblock umgeht, GitHub:
- Erstellt eine Warnung auf der Registerkarte "Sicherheit " des Repositorys, der Organisation und des Unternehmens.
- Fügt das Umgehungsereignis zum Überwachungsprotokoll hinzu.
- Sendet eine E-Mail-Benachrichtigung an persönliche Konto-, Organisations- und Unternehmensbesitzer, Sicherheitsmanager und Repositoryadministratoren, die das Repository beobachten, mit einem Link zum geheimen Schlüssel und dem Grund, warum es zulässig war
Bevor du den Push-Schutz aktivierst, solltest du überlegen, ob du eine Anleitung für Entwicklerteams erstellen musst, unter welchen Bedingungen der Push-Schutz umgangen werden kann. Du kannst einen Link zu dieser Ressource in der Nachricht konfigurieren, die angezeigt wird, wenn ein Entwickler versucht, ein blockiertes Geheimnis zu veröffentlichen.
Mach dich als Nächstes mit den verschiedenen Optionen für die Verwaltung und Überwachung von Warnmeldungen vertraut, die auf die Umgehung des Push-Schutzes durch einen Mitarbeiter zurückzuführen sind.
Weitere Informationen finden Sie unter Informationen zum Pushschutz.
Nächste Schritte
Den nächsten Artikel in dieser Reihe findest du unter Phase 3: Pilotprogramme.