关于机密风险评估

了解为什么了解组织的数据泄漏风险如此重要,以及 secret risk assessment 报告如何概述组织的机密泄漏足迹。

谁可以使用此功能?

适用于 GitHub Team 和 GitHub Enterprise 的组织免费使用
了解如何运行免费的机密风险评估

本文内容

关于泄露机密的风险

要想防止泄露机密,评估泄露机密风险至关重要:

  •           **恶意行为者的利用**。 恶意行为者可以利用泄漏的机密(如 API 密钥、密码和令牌),在未经授权的情况下访问系统、数据库和敏感信息。 机密泄露可能会导致数据泄露,损害用户数据,并可能导致重大财务和信誉损失。

  •           **合规问题**。 许多行业对数据保护有严格的监管要求,泄露机密可能导致不符合法规,从而导致法律处罚和罚款。

  •           **服务中断**。 未经授权的系统访问可能会导致服务中断,从而影响提供给用户的服务的可用性和可靠性。

  •           **信任丧失**。 客户希望有强大的安全措施来保护他们的数据,而泄露机密的风险会削弱客户对组织保护信息能力的信任和信心。

  •           **代价高昂的后果**。 解决泄露机密的后果可能代价高昂,涉及事件响应工作、安全审核和受影响各方的潜在赔偿。

定期评估泄露机密的风险是一种良好的做法,有助于识别漏洞,实施必要的安全措施,并确保任何泄露的机密都能及时轮换和失效。 请在 GitHub Executive Insights 中查看了解组织的机密泄露情况中的行业案例和深入讨论。

关于 secret risk assessment

提示

该报告只有在使用 GitHub Team 计划时才可用。 有关该计划以及如何升级的信息,请参阅 GitHub Team升级组织的计划

GitHub 提供了一个机密风险评估报告,组织所有者和安全经理可以生成该报告来评估组织的机密泄露情况****。 secret risk assessment 是组织中代码的按需时间点扫描****:

  • 显示组织内任何泄露的机密
  • 显示组织外部泄露的机密类型
  • 为补救提供可行的见解

secret risk assessment 报告提供了以下见解:

  •           **机密总数** — 组织内检测到的暴露机密的汇总计数。

  •           **公开泄露** — 在组织的公共存储库中发现的不同机密。

  •           **可预防的泄露** — 可以使用 GitHub Secret Protection 功能(如 secret scanning 和推送保护)加以保护的机密。

  •           **机密位置** — 为生成报告而扫描的位置。 免费的 secret risk assessment 仅扫描组织中的代码,包括已存档仓库中的代码__。 可以使用 GitHub Secret Protection 扩展扫描范围,以涵盖拉取请求、议题、wiki 和 GitHub Discussions 中的内容****。

  •           **机密类别** — 泄露机密的类型分布。 机密可以是合作伙伴机密(与我们合作伙伴计划中的服务提供商发布的机密相匹配的字符串),也可以是通用机密(非服务提供商模式,如 SSH 密钥、数据库连接字符串和 JSON Web 令牌)。

  •           **存在泄露的存储库** — 在所有扫描的存储库中,检测到泄露机密的存储库数量。

提示

每 90 天只能生成一次报告。 建议实施 GitHub Secret Protection 进行持续机密监视和预防。 请参阅“选择 GitHub Secret Protection”。

由于 secret risk assessment 报告基于仓库,因此无论 GitHub Secret Protection 功能的启用状态如何,你都可以查看当前的泄露机密风险,并更好地了解 GitHub 如何帮助你防止未来的机密泄露****。

Next steps

若要开始分析组织的机密风险,请参阅 为您的组织运行保密风险评估