存储库中公开的机密可能会导致未经授权的访问、数据泄露以及组织的重大成本。 有关这些风险以及如何防范这些风险的详细信息,请参阅 机密泄漏风险。
GitHub 提供工具,可帮助你了解和解决组织对泄露机密的暴露问题:
- 机密风险评估:一种免费的按需扫描,可显示组织的当前机密泄露风险。
**
GitHub Secret Protection
**:一套全面的功能,用于检测现有机密并防止存储库中出现新的泄漏。
机密风险评估
机密风险评估为组织所有者和安全经理提供对其组织的存储库进行免费时间点扫描,以识别泄露的机密,例如 API 密钥、令牌和密码。
评估显示的内容
评估报告包括:
-
**检测到的机密总数**:组织中公开的机密的聚合计数。 -
**公共泄漏**:在可供任何人访问的公共存储库中找到的机密。 -
**可预防的泄漏**:如果启用推送保护,机密信息可以被有效阻止。 -
**机密类别**:机密类型的分发(如 AWS 密钥、 GitHub 令牌或泛型密码)。
评估风险的原因
定期评估有助于防止:
- 未经授权访问系统和数据
- 因被泄露或被破坏的凭据导致的服务中断
- 法规合规性问题
- 资源滥用造成的财务损失
- 安全事件造成的信誉损害
GitHub Secret Protection
GitHub Secret Protection 是一种 GitHub Advanced Security 产品,其中包含一套旨在防止、检测和协助修正组织中的机密泄漏的功能。
虽然 secret risk assessment 提供了你们组织当前机密泄露的时间点视图, GitHub Secret Protection但是:
-
**实现持续监测** 并将扫描范围扩展到代码之外,包含拉取请求、问题、Wiki 和讨论。 -
**在保存到GitHub之前,通过阻止包含机密的提交来防止机密泄漏** -
**生成可操作警报**,它们可分组为活动并分配给团队成员进行修正 - 通过扫描组织和非结构化机密(如密码)特有的模式来满足特定需求
- 通过设置来规定谁可以绕过保护并解除警报,支持大规模治理
-
通过专用于组织机密安全的视图**呈现关键分析**
通过这些功能, GitHub Secret Protection 为组织提供完整的覆盖范围,降低成本高昂的机密泄漏和高工作量修正过程的风险。
有关GitHub Secret Protection的更多特定功能,请参阅GitHub 安全功能。
后续步骤
了解如何 GitHub 帮助保护机密安全后,应评估组织当前对泄露机密的暴露情况。 请参阅“为您的组织运行保密风险评估”。