Интерпретация результатов оценки секретных рисков

Understand the results from your secret risk assessment and prioritize leak remediation.

Кто может использовать эту функцию?

Organization owners, security managers, and users with the admin role

В этой статье

Введение

В этом руководстве вы интерпретируете секретные результаты оценки рисков и узнаете, как:

  • Понимание метрик риска на панели мониторинга
  • Выявление утечек секретов с высоким риском
  • Приоритизация секретов для исправления

Необходимые компоненты

Необходимо создать отчет secret risk assessment и дождаться завершения сканирования. См . раздел AUTOTITLE.

Шаг 1: Разберитесь с метриками панели управления

После завершения оценки ознакомьтесь с ключевыми показателями в верхней части панели управления:

  •         **Всего секретов**: общее количество обнаруженных утечек секретов в вашей организации

  •         **Публичные утечки**: различные секреты, найденные в **общедоступных** репозиториях

  •         **Предотвратимые утечки**: утечки, которые могла бы предотвратить защита от выталкивания

Вы также можете определить количество секретов, найденных в ваших частных репозиториях , вычитая количество общедоступных утечек из общего количества секретов. Несмотря на то, что устранение этих секретов не так важно, они по-прежнему представляют риск, если кто-то получит несанкционированный доступ к вашим репозиториям или если репозиторий станет общедоступным.

Шаг 2: Разберитесь в секретных категориях

Посмотрите раздел Категории секретов , чтобы понять , какие типы секретов были украдены .

  •         **Шаблоны поставщиков**: определенные секретные форматы для известных служб (AWS, Azure, токены GitHub)

  •         **Общие шаблоны**: общие секретные форматы, такие как закрытые ключи, ключи API, пароли

Шаблоны поставщиков часто легче идентифицировать и отозвать, потому что вы точно знаете, к какому сервису они принадлежат. Общие шаблоны могут потребовать дополнительного изучения.

Шаг 3: Определите, сколько репозиториев затронуто

Проверьте метрику Репозитории с утечками , которая показывает, сколько ваших репозиториев содержат секретные утечки.

Если высокий процент репозиториев содержит утечки, это может свидетельствовать о следующем:

  • Широко распространенная культурная проблема, связанная с управлением секретами
  • Потребность в обучении в масштабах всей организации
  • Отсутствие защитных ограждений, таких как защита от push-уведомлений, которая блокирует секреты до того, как они будут зафиксированы

Если утечки содержатся только в нескольких репозиториях, вы можете:

  • Сосредоточьте усилия по исправлению ситуации на конкретных командах
  • Использование сведений об утечке для определения репозиториев с высоким уровнем риска

Шаг 4: Просмотрите утекшие секреты по типам

Прокрутите вниз, чтобы увидеть подробную таблицу типов секретов , которая включает в себя:

  •         **Тип секрета**: Конкретный вид секрета

  •         **Различные репозитории**: Сколько различных репозиториев содержат этот тип

  •         **Найденные секреты**: общее количество секретов этого типа во всех репозиториях

Таблица автоматически сортируется по наибольшему числу, помогая определить наибольшие риски.

Если вы видите много секретов одного типа (например, несколько ключей AWS), это указывает на следующее:

  • Разработчики могут не использовать переменные среды
  • Отсутствует документация по управлению секретами

Теперь, когда вы понимаете метрики, определите приоритеты исправления в зависимости от риска.

Секреты с наивысшим приоритетом — это утечка шаблонов провайдеров в общедоступных репозиториях, потому что они:

  • Доступно для всех в Интернете
  • Часто их проще идентифицировать и отозвать, так как вы знаете, к какому сервису они относятся

Далее можно обратиться к секретам, которые представляют меньший риск или требуют более масштабных усилий по устранению. Это могут быть:

  •         **Универсальные шаблоны в общедоступных репозиториях**, которые могут потребовать исследования для определения службы или системы, к которой они принадлежат

  •         **Утечки из частного репозитория**, которые представляют меньший непосредственный риск, но все же должны быть устранены

Наконец, обратите внимание на следующие показатели, которые могут потребовать дополнительных мер по предотвращению, помимо устранения утечек:

  •         **Большое количество репозиториев с утечками**: указывает на необходимость обучения в масштабах всей организации и повышения осведомленности о безопасности

  •         **Повторяющиеся типы секретов**: предполагает, что определенные рабочие процессы или команды нуждаются в целенаправленном вмешательстве

  •         **Категории общих секретов**: могут указывать на определенные процессы CI/CD, требующие улучшения безопасности

Дальнейшие шаги

GitHub Secret Protection обеспечивает непрерывный мониторинг и защиту от push-уведомлений, чтобы помочь устранить любые оставшиеся секреты и предотвратить будущие утечки. Чтобы оценить, подходит ли GitHub Secret Protection для вашей организации, вы можете оценить затраты перед его включением. См . раздел AUTOTITLE.