本文是大规模采用 GitHub Advanced Security 系列的一部分。 有关本系列的上一篇文章,请参阅“第 1 阶段:与推出策略和目标保持一致”。
准备启用 code scanning
Code scanning 是一项功能,可用于分析 GitHub 仓库中的代码,以查找安全漏洞和编码错误。 分析发现的任何问题都显示在 GitHub Enterprise Cloud 中。有关详细信息,请参阅“关于代码扫描”。
在数百个存储库中推出 code scanning 可能很困难,尤其是在效率低下时。 遵循这些步骤将确保推出既高效又成功。
Code scanning 也在 GitHub.com 上的所有公共存储库中提供,而无需 GitHub Advanced Security 的许可证。
让团队为 code scanning 做好准备
首先,让团队准备好使用 code scanning。 使用 code scanning 的团队越多,推动修正计划并监视推出进度所需的数据就越多。
有关 code scanning 的简介,请参阅:
- “关于代码扫描”
- “关于代码扫描警报”
- “管理存储库的代码扫描警报”
你的核心关注应该是让尽可能多的团队准备好使用 code scanning。 你也可以鼓励团队进行适当的修正,但我们建议在此阶段优先启用和使用 code scanning 而不是修复问题。
准备启用 secret scanning
注意:当 secret scanning 在使用 GitHub Enterprise Cloud 并拥有 GitHub Advanced Security 许可证的组织所拥有的存储库中检测到机密时,GitHub 会提醒所有有权访问存储库安全警报的用户。
使用 合作伙伴的机密扫描警报 在公共存储库中发现的机密会直接报告给合作伙伴,而不会在 GitHub Enterprise Cloud 上创建警报。 有关受支持的合作伙伴模式的详细信息,请参阅“机密扫描模式”。
如果项目与外部服务通信,它可能使用令牌或私钥进行身份验证。 如果将密码检入仓库,则对仓库具有读取权限的任何人都可以使用该密码以您的权限访问外部服务。 Secret scanning 将扫描 GitHub 存储库中所有分支的整个 Git 历史记录以获取机密,然后提醒你 或阻止包含机密 的推送。 有关详细信息,请参阅“关于机密扫描”。
合作伙伴的机密扫描警报 在 GitHub.com 上的公共存储库和公共 npm 包中自动运行,以向服务提供商通知泄漏的机密情况。
用户的机密扫描警报 在所有公共存储库上免费提供。
启用 secret scanning 时的注意事项
启用 secret scanning,但在组织级别单击“全部启用”并选择“为每个新存储库自动启用 secret scanning”选项会产生以下应留意的下游影响:********
许可证使用情况
即使没有人正在使用代码扫描,为所有存储库启用 secret scanning 仍将使用所有许可证。 除非计划增加组织中的活跃开发人员人数,否则该操作很好。 如果未来几个月活跃开发人员人数很可能增大,你可能会超出许可证上限,无法在新创建的存储库上使用 GitHub Advanced Security。
最初检测到的大量机密
如果在大型组织上启用 secret scanning,请做好准备,你将发现大量机密。 有时这会让组织感到震惊,并触发警报。 如果想在所有存储库中同时启用 secret scanning,请计划如何响应整个组织的多个警报。
可以为各个存储库启用 Secret scanning。 有关详细信息,请参阅“为存储库配置机密扫描”。 如上所述,还可以为组织中的所有存储库启用 Secret scanning。 有关为所有存储库启用的详细信息,请参阅“管理组织的安全和分析设置”。
secret scanning 的自定义模式
Secret scanning 检测大量默认模式,但也可以配置为检测自定义模式,例如基础结构独有的机密格式或 GitHub Enterprise Cloud 的 secret scanning 目前不检测的集成商所用的机密格式。 有关合作伙伴模式支持的机密的详细信息,请参阅“机密扫描模式”。
审核存储库并与安全和开发团队沟通时,生成机密类型列表,稍后你将使用这些类型为 secret scanning 配置自定义模式。 有关详细信息,请参阅“为机密扫描定义自定义模式”。
有关本系列的下一篇文章,请参阅“第 3 阶段:试点计划”。