Изучение вашего бизнес-испытания GitHub Secret Protection

Введение в доступные функции GitHub Secret ProtectionGitHub Enterprise Cloud , чтобы вы могли оценить их соответствие потребностям вашего бизнеса.

В этой статье

Это руководство предполагает, что вы уже спланировали и начали пробный GitHub Advanced Security процесс для существующего или пробного GitHub бизнес-аккаунта. См . раздел AUTOTITLE.

Введение

          GitHub Secret Protection функции работают так же в приватных и внутренних репозиториях, как и во всех публичных репозиториях. В этой статье рассматриваются дополнительные функции, которые вы можете использовать для защиты вашего бизнеса от утечек безопасности при использовании GitHub Secret Protection, а именно:
  • Определите дополнительные маркеры доступа, используемые путем определения пользовательских шаблонов.
  • Обнаружение потенциальных паролей с помощью ИИ.
  • Контроль и аудит процесса обхода для защиты от push и Оповещения о сканировании секретов.
  • Включите проверку действительности открытых токенов.

Чтобы узнать, как провести бесплатную секретную оценку рисков, см. раздел «Создание первичной секретной оценки рисков» в GitHub Enterprise Cloud документации.

Если вы уже отсканировали код вашей организации на наличие утечок секретов с помощью бесплатной оценки секретных рисков, вам также стоит более полно изучить эти данные, используя дополнительные представления на Security вкладке организации.

Для полной информации о доступных функциях см. GitHub Secret Protection.

Конфигурация безопасности для Secret Protection

Большинство предприятий выбирают включение Secret Protection push-защиты во всех своих репозиториях, применяя настройки безопасности с включёнными этими функциями. Это гарантирует, что репозитории проверяются на токены доступа, которые уже добавлены в GitHub, а также отмечается, когда пользователи собираются вывести токены в GitHub. Сведения о создании конфигурации безопасности корпоративного уровня и его применении к репозиториям тестов см. в разделе Включение функций безопасности в пробной версии предприятия.

Предоставить доступ к просмотру результатов secret scanning

По умолчанию только администратор репозитория и владелец организации могут просматривать все secret scanning оповещения в своей области. Необходимо назначить предопределенную роль диспетчера безопасности всем командам организации и пользователям, которым требуется получить доступ к оповещениям, найденным во время пробной версии. Вы также можете предоставить владельцу учетной записи предприятия эту роль для каждой организации в пробной версии. Дополнительные сведения см. в разделе Управление диспетчерами безопасности в организации.

Краткое описание результатов, найденных в организациях вашего пробного предприятия, вы можете увидеть в разделе Security «Предприятие». Существуют также отдельные представления для каждого типа оповещений системы безопасности. См . раздел AUTOTITLE.

Определение дополнительных маркеров доступа

Пользовательские шаблоны можно создать для идентификации дополнительных маркеров доступа на уровне репозитория, организации и предприятия. В большинстве случаев следует определить пользовательские шаблоны на корпоративном уровне, так как это обеспечит использование шаблонов для всего предприятия. Они также упрощают их обслуживание, если необходимо обновить шаблон при изменении формата маркера.

После того как вы создали и опубликовали пользовательские шаблоны, и secret scanning защита от push автоматически включают новые шаблоны во все сканы. Подробные сведения о создании пользовательских шаблонов см. в разделе Определение пользовательских шаблонов для проверки секретов.

Использование искусственного интеллекта для обнаружения потенциальных паролей

На корпоративном уровне у вас есть полный контроль над тем, разрешено ли использование ИИ для обнаружения секретов, которые не могут быть идентифицированы с помощью регулярных выражений (также известных как универсальные секреты или как шаблоны, отличные от поставщика).

  • Включите или отключите функцию для всего предприятия.
  • Задайте политику для блокировки управления функцией на уровне организации и репозитория.
  • Задайте политику, чтобы разрешить владелец организации или администраторам репозитория управлять функцией.

Аналогично пользовательским паттернам, если включить и secret scanning AI обнаружение, и автоматически использовать защиту от push, начните использовать AI detection во всех сканах. Сведения об управлении корпоративным уровнем см. в разделе [AUTOTITLE и Настройка дополнительных параметров сканирования секретов для вашего предприятия](/admin/enforcing-policies/enforcing-policies-for-your-enterprise/enforcing-policies-for-code-security-and-analysis-for-your-enterprise).

Управление и аудит процесса обхода

Когда защита от push блокирует push to GitHub в публичном репозитории без GitHub Secret Protection, у пользователя есть два простых варианта: обойти управление или удалить выделенный контент из ветки и её истории. Если они решают обойти защиту от пуша, автоматически создаётся secret scanning оповещение. Это позволяет разработчикам быстро разблокировать свою работу, при этом сохраняя аудитский след для контента, идентифицированного .secret scanning

Крупные команды обычно хотят поддерживать более жесткий контроль над потенциальной публикацией маркеров доступа и других секретов. С GitHub Secret Protectionпомощью , вы можете определить группу рецензентов для одобрения запросов на обход защиты от push, снижая риск случайной утечки токен, который всё ещё активен. Вы также можете определить группу рецензентов для одобрения запросов на отклонение Оповещения о сканировании секретов.

Рецензенты определяются в конфигурации безопасности на уровне организации или в параметрах репозитория. Дополнительные сведения см. в разделе Сведения о делегированной обходе для защиты от push-уведомлений.

Включение проверок допустимости

Вы можете включить проверки действительности, чтобы проверить, активны ли обнаруженные маркеры на уровне репозитория, организации и предприятия. Как правило, стоит включить эту функцию во всем предприятии с помощью конфигураций безопасности корпоративного или корпоративного уровня. Для получения дополнительной информации см. раздел AUTOTITLE в GitHub Enterprise Cloud документации.

Дальнейшие шаги

Когда вы включили дополнительные элементы Secret Protectionконтроля, вы готовы протестировать их с потребностями вашего бизнеса и исследовать дальше. Возможно, вы также готовы изучить доступные варианты с GitHub Code Security.

  •         [AUTOTITLE](/code-security/trialing-github-advanced-security/explore-trial-code-scanning)

  •         [Применение GitHub Advanced Security в масштабах](https://wellarchitected.github.com/library/application-security/recommendations/enforce-ghas-at-scale/)