GitHub 提供了工具,帮助你了解和解决组织对泄露机密的暴露问题:
-
**机密风险评估**:一种免费的按需扫描,可显示组织的当前机密泄露风险。 -
**GitHub Secret Protection**:一套全面的功能套件,用于检测现有机密并防止在您的代码库中出现新的泄漏。
机密风险评估
机密风险评估为组织所有者和安全经理提供对其组织的存储库进行免费时间点扫描,以识别泄露的机密,例如 API 密钥、令牌和密码。
评估显示的内容
评估报告包括:
-
**检测到的机密总数**:组织中公开的机密的聚合计数。 -
**公共泄漏**:在可供任何人访问的公共存储库中找到的机密。 -
**可预防的泄漏**:如果启用推送保护,机密信息可以被有效阻止。 -
**机密类别**:机密类型的分发(如 AWS 密钥、GitHub 令牌或泛型密码)。
评估风险的原因
定期评估有助于防止:
- 未经授权访问系统和数据
- 因被泄露或被破坏的凭据导致的服务中断
- 法规合规性问题
- 资源滥用造成的财务损失
- 安全事件造成的信誉损害
GitHub Secret Protection
GitHub Secret Protection 是 GitHub Advanced Security 的一款产品,包含一套旨在预防、检测和协助修正组织中机密泄露的功能。
secret risk assessment 提供组织当前机密泄露的即时视图,而 GitHub Secret Protection:
-
**实现持续监测** 并将扫描范围扩展到代码之外,包含拉取请求、问题、Wiki 和讨论。 - 通过在将机密保存到 GitHub 之前阻止包含机密的提交来防止机密泄露
-
**生成可操作警报**,它们可分组为活动并分配给团队成员进行修正 - 通过扫描组织和非结构化机密(如密码)特有的模式来满足特定需求
- 通过设置来规定谁可以绕过保护并解除警报,支持大规模治理
-
通过专用于组织机密安全的视图**呈现关键分析**
通过这些功能,GitHub Secret Protection 为组织提供全面覆盖,降低代价高昂的机密泄露风险和高工作量的修正流程。
有关 GitHub Secret Protection 的特定功能的更多信息,请参阅 GitHub 安全功能。
后续步骤
了解 GitHub 如何帮助保护机密安全后,应评估组织的当前机密泄露情况。 请参阅“为您的组织运行保密风险评估”。