探索企业试用版 GitHub Secret Protection

提供GitHub Secret ProtectionGitHub Enterprise Cloud的功能简介,以便评估其符合业务需求。

在本文中

本指南假定你已计划并已开始 GitHub Advanced Security 试用,用于现有或试用中的 GitHub 企业账户。 请参阅“规划 GitHub Advanced Security 的试用”。

介绍

          GitHub Secret Protection 功能在专用存储库和内部存储库中的工作方式与所有公共存储库中的工作方式相同。 本文重点介绍在使用 GitHub Secret Protection时可用于保护业务免受安全泄漏的其他功能,即:
  • 通过定义自定义模式确定你使用的其他访问令牌。
  • 使用 AI 检测潜在密码。
  • 控制和审核推送保护功能及机密扫描警报的绕过流程。
  • 为公开的令牌启用有效性检查。

若要了解如何运行免费机密风险评估,请参阅文档中GitHub Enterprise Cloud”。

如果您已经使用免费机密风险评估扫描了组织内代码中的泄漏机密,则还应利用组织选项卡** Security** 上的其他视图更全面地查看这些数据。

有关可用功能的完整详细信息,请参阅 GitHub Secret Protection

          Secret Protection的安全配置

大多数企业选择通过启用这些功能应用安全配置,在所有存储库中启用 Secret Protection 推送保护。 确保存储库中已经添加到GitHub的访问令牌被检查,同时在用户即将泄露令牌时于GitHub进行标记警告。 有关创建企业级安全配置并将其应用到测试存储库的信息,请参阅“在试用企业版中启用安全功能”。

提供权限去查看secret scanning的结果

默认情况下,只有存储库管理员和组织所有者才能查看其区域中的所有 secret scanning 警报。 应将预先定义的安全管理员角色分配给所有希望在试用期间访问发现警报的组织团队和用户。 你可能还需要为试用中的每个组织的企业帐户所有者指派此角色。 有关详细信息,请参阅“管理组织中的安全管理员”。

您可以在您的试用企业的“ Security”选项卡中查看在这些组织中找到的任何结果的摘要。 每种类型的安全警报也有单独的视图。 请参阅“查看安全洞察”。

识别其他访问令牌

可以在存储库、组织和企业级创建自定义模式来标识其他访问令牌。 在大多数情况下,应在企业级定义自定义模式,因为这可确保在整个企业中都使用相应模式。 如果需要在令牌的格式发生更改时更新模式,这样也使其易于维护。

创建和发布自定义模式后,secret scanning 和推送保护会自动在所有扫描中包含这些新模式。 有关创建自定义模式的详细信息,请参阅“为机密扫描定义自定义模式”。

使用 AI 检测潜在密码

在企业级,你可以完全控制是否允许使用 AI 来检测无法使用正则表达式识别的机密(也称为泛型机密或非提供程序模式)。

  • 为整个企业打开或关闭该功能。
  • 设置策略以阻止在组织和存储库级控制该功能。
  • 设置策略以允许组织所有者或存储库管理员控制该功能。

与自定义模式类似,如果同时启用 AI 检测和推送保护,secret scanning 将在所有扫描中自动开始使用 AI 检测。 有关企业级控制的信息,请参阅“为企业配置其他机密扫描设置”和“强制实施企业的代码安全性和分析策略”。

控制并审核绕过过程

当推送保护在没有GitHub Secret Protection的公共存储库中阻止推送到GitHub时,用户有两个简单的选项:绕过限制,或者从分支及其历史记录中删除突出显示的内容。 如果选择绕过推送保护,则会自动创建一条secret scanning警报。 这样,开发人员就可以快速解除阻止其工作的障碍,同时仍为标识 secret scanning 的内容提供审核线索。

较大型的团队通常希望对访问令牌和其他机密的潜在发布保持更为严格的控制。 借助 GitHub Secret Protection,可以定义审阅者组以批准绕过推送保护的请求,从而减少开发人员意外泄露仍处于活动状态的令牌的风险。 还可以定义审阅者组以批准取消 机密扫描警报的请求。

审阅者在组织级安全配置或存储库的设置中定义。 有关详细信息,请参阅“关于推送保护的委派绕过”。

启用有效性检查

可以启用有效性检查,以便检查检测到的令牌是否仍在存储库、组织和企业级处于活动状态。 通常,使用企业或组织级安全配置在整个企业中启用此功能很值得。 有关详细信息,请参阅文档中的 GitHub Enterprise Cloud。

后续步骤

启用其他控件 Secret Protection后,即可根据业务需求对其进行测试,并进一步探索。 您可能也准备好查看与GitHub Code Security相关的可用选项。

  •         [AUTOTITLE](/code-security/trialing-github-advanced-security/explore-trial-code-scanning)

  •         [大规模强制实施GitHub Advanced Security](https://wellarchitected.github.com/library/application-security/recommendations/enforce-ghas-at-scale/)