Este guia pressupõe que você planejou e iniciou uma avaliação do GitHub Advanced Security para uma conta empresarial existente ou de avaliação do GitHub. Confira Planejando uma avaliação do GitHub Advanced Security.
Introdução
Os recursos da GitHub Secret Protection funcionam em repositórios privados e internos da mesma forma que funcionam em todos os repositórios públicos. Este artigo se concentra na funcionalidade adicional que você pode usar para proteger sua empresa contra vazamentos de segurança quando usa o GitHub Secret Protection, ou seja:
- Identifique os tokens de acesso adicionais que você usa definindo padrões personalizados.
- Detectar senhas em potencial usando IA.
- Controle e audite o processo de bypass para a proteção de push e os alertas de verificação de segredo.
- Habilitar verificações de validade para tokens expostos.
Se você já tiver verificado o código em sua organização em busca de segredos vazados usando a avaliação de riscos de segredos gratuita, recomendamos explorar esses dados mais minuciosamente usando as exibições adicionais na guia Security da organização.
Para conhecer os detalhes completos dos recursos disponíveis, consulte GitHub Secret Protection.
Configuração de segurança da Secret Protection
A maioria das empresas opta por habilitar a Secret Protection com a proteção por push em todos os seus repositórios aplicando configurações de segurança com esses recursos habilitados. Isso garante que os repositórios sejam verificados quanto aos tokens de acesso que já foram adicionados a GitHub, além de sinalizar quando os usuários estão prestes a vazar tokens no GitHub. Para saber mais sobre como criar uma configuração de segurança de nível empresarial e aplicá-la aos repositórios de teste, confira Habilitar recursos de segurança em sua conta empresarial de avaliação.
Fornecer acesso para exibir resultados da secret scanning
Por padrão, somente o administrador do repositório e o proprietário da organização podem exibir todos os alertas do secret scanning em sua área. Atribua a função predefinida de gerente de segurança a todas as equipes e usuários da organização que você deseja que acessem os alertas encontrados durante a avaliação. Também convém conceder ao proprietário da conta corporativa essa função para cada organização na avaliação. Para saber mais, confira Gerenciando os gerentes de segurança da sua organização.
Você pode ver um resumo dos resultados encontrados nas organizações de sua conta empresarial de avaliação na guia Security da empresa. Também há exibições separadas para cada tipo de alerta de segurança. Confira Exibir insights de segurança.
Identificar tokens de acesso adicionais
Você pode criar padrões personalizados para identificar tokens de acesso adicionais no nível do repositório, da organização e da empresa. Na maioria dos casos, você deve definir padrões personalizados no nível da empresa, pois isso garantirá que eles sejam usados em toda a empresa. Isso também facilitará a manutenção se você precisar atualizar um padrão quando o formato de um token for alterado.
Após você criar e publicar padrões personalizados, a secret scanning e a proteção por push incluem automaticamente os novos padrões em todas as verificações. Para obter informações detalhadas sobre como criar padrões personalizados, confira Definir padrões personalizados para a verificação de segredo.
Usar IA para detectar senhas em potencial
No nível da empresa, você tem controle total sobre a permissão do uso de IA para detectar segredos que não podem ser identificados usando expressões regulares (também conhecidos como segredos genéricos ou como padrões que não são de provedor).
- Ative ou desative o recurso para toda a empresa.
- Defina uma política para bloquear o controle do recurso no nível da organização e do repositório.
- Defina uma política para permitir que proprietários da organização ou administradores de repositório controlem o recurso.
De maneira semelhante aos padrões personalizados, se você habilitar a detecção de IA, a secret scanning e a proteção por push começam automaticamente a usar a detecção de IA em todas as verificações. Para obter informações sobre o controle no nível empresarial, confira Definindo configurações adicionais de verificação de segredo para sua empresa e Como impor políticas para segurança e análise de código na empresa.
Controlar e auditar o processo de bypass
Quando a proteção por push bloqueia um push para o GitHub em um repositório público sem GitHub Secret Protection, o usuário tem duas opções simples: ignorar o controle ou remover o conteúdo realçado do branch e seu histórico. Se ele optar por ignorar a proteção por push, um alerta da secret scanning será criado automaticamente. Isso permite que os desenvolvedores desbloqueiem rapidamente seu trabalho enquanto ainda fornece uma trilha de auditoria para o conteúdo identificado pela secret scanning.
Equipes maiores geralmente querem manter um controle mais rígido sobre a possível publicação de tokens de acesso e outros segredos. Com a GitHub Secret Protection, você pode definir um grupo de revisores para aprovar solicitações para ignorar a proteção por push, reduzindo o risco de um desenvolvedor acidentalmente vazar um token que ainda está ativo. Você também pode definir um grupo de revisores para aprovar solicitações para descartar alertas de verificação de segredo.
Os revisores são definidos em uma configuração de segurança no nível da organização ou nas configurações de um repositório. Para saber mais, confira Sobre o bypass delegado para proteção de push.
Habilitar verificações de validade
Você pode habilitar verificações de validade para verificar se os tokens detectados ainda estão ativos no nível do repositório, da organização e da empresa. Geralmente, vale a pena habilitar esse recurso em toda a empresa usando configurações de segurança no nível da empresa ou da organização. Para saber mais, confira Habilitar verificações de validade para seu repositório.
Próximas etapas
Quando você tiver habilitado os controles adicionais para a Secret Protection, estará pronto para testá-los em relação às suas necessidades comerciais e explorar mais. Você também pode para examinar as opções disponíveis com a GitHub Code Security.