В этом руководстве предполагается, что вы планируете и запустили пробную версию GitHub Advanced Security для существующей или пробной учетной записи GitHub, см . раздел AUTOTITLE.
Введение
Функции Secret scanning работают одинаково в частных и внутренних репозиториях с включенными GitHub Advanced Security так же, как и во всех общедоступных репозиториях. В этой статье рассматриваются дополнительные функциональные возможности, которые можно использовать для защиты бизнеса от утечек безопасности при использовании GitHub Advanced Security, то есть:
- Определите дополнительные маркеры доступа, которые вы используете.
- Обнаружение потенциальных паролей с помощью ИИ.
- Управление и аудит процесса обхода для защиты push-уведомлений.
- Включите проверки допустимости для предоставленных маркеров.
Конфигурация безопасности для secret scanning
Большинство предприятий решили включить secret scanning и отправить защиту во всех своих репозиториях, применяя конфигурации безопасности с включенными функциями. Это гарантирует, что репозитории проверяются на наличие маркеров доступа, которые уже добавлены в GitHub, помимо тегов при утечке маркеров в GitHub. Сведения о создании конфигурации безопасности корпоративного уровня и его применении к репозиториям тестов см. в разделе Включение функций безопасности в пробной версии предприятия.
Предоставление доступа к просмотру результатов secret scanning
По умолчанию только администратор репозитория и владелец организации могут просматривать все оповещения secret scanning в их области. Необходимо назначить предопределенную роль диспетчера безопасности всем командам организации и пользователям, которым требуется получить доступ к оповещениям, найденным во время пробной версии. Вы также можете предоставить владельцу учетной записи предприятия эту роль для каждой организации в пробной версии. Дополнительные сведения см. в разделе Управление диспетчерами безопасности в организации.
Вы можете просмотреть сводку результатов, найденных в организациях в пробной организации, на вкладке "Безопасность кода" для предприятия. Существуют также отдельные представления для каждого типа оповещений системы безопасности, см . раздел AUTOTITLE.
Определение дополнительных маркеров доступа
Пользовательские шаблоны можно создать для идентификации дополнительных маркеров доступа на уровне репозитория, организации и предприятия. В большинстве случаев следует определить пользовательские шаблоны на корпоративном уровне, так как это обеспечит использование шаблонов для всего предприятия. Они также упрощают их обслуживание, если необходимо обновить шаблон при изменении формата маркера.
После создания и публикации пользовательских шаблонов как secret scanning, так и защита отправки автоматически включают новые шаблоны во все проверки. Подробные сведения о создании пользовательских шаблонов см. в разделе Определение пользовательских шаблонов для проверки секретов.
Использование искусственного интеллекта для обнаружения потенциальных паролей
На корпоративном уровне у вас есть полный контроль над тем, разрешено ли использование ИИ для обнаружения секретов, которые не могут быть идентифицированы с помощью регулярных выражений (также известных как универсальные секреты или как шаблоны, отличные от поставщика).
- Включите или отключите функцию для всего предприятия.
- Задайте политику для блокировки управления функцией на уровне организации и репозитория.
- Задайте политику, чтобы разрешить владелец организации или администраторам репозитория управлять функцией.
Аналогично пользовательским шаблонам, если включить обнаружение ИИ как secret scanning, так и защита push-уведомлений автоматически начинается с обнаружения ИИ во всех сканированиях. Сведения об управлении корпоративным уровнем см. в разделе [AUTOTITLE и Настройка дополнительных параметров сканирования секретов для вашего предприятия](/admin/enforcing-policies/enforcing-policies-for-your-enterprise/enforcing-policies-for-code-security-and-analysis-for-your-enterprise).
Управление и аудит процесса обхода
Если push-защита блокирует отправку на GitHub в общедоступный репозиторий без GitHub Advanced Security, пользователь имеет два простых варианта: обойти элемент управления или удалить выделенное содержимое из ветви и его журнала. Если они решили обойти защиту push-уведомлений, создается оповещение secret scanning автоматически. Это позволяет разработчикам быстро разблокировать работу, предоставляя журнал аудита для содержимого, определяемого secret scanning.
Крупные команды обычно хотят поддерживать более жесткий контроль над потенциальной публикацией маркеров доступа и других секретов. С помощью GitHub Advanced Securityможно определить группу рецензентов, чтобы утвердить запросы для обхода защиты push-уведомлений, что снижает риск случайной утечки маркера, который по-прежнему активен. Рецензенты определяются в конфигурации безопасности на уровне организации или в параметрах репозитория. Дополнительные сведения см. в разделе Сведения о делегированной обходе для защиты от push-уведомлений.
Включение проверок допустимости
Вы можете включить проверки действительности, чтобы проверить, активны ли обнаруженные маркеры на уровне репозитория, организации и предприятия. Как правило, стоит включить эту функцию во всем предприятии с помощью конфигураций безопасности корпоративного или корпоративного уровня. Дополнительные сведения см. в разделе Включение проверок допустимости для репозитория.
Следующие шаги
Если вы включили дополнительные элементы управления для secret scanning, доступные с помощью GitHub Advanced Security, вы готовы протестировать их в соответствии с вашими бизнес-потребностями и подробнее изучить их. Вы также можете быть готовы к просмотру пробной версии code scanning.