In diesem Leitfaden wird davon ausgegangen, dass du für ein bestehendes GitHub-Enterprise-Konto eine GitHub Advanced Security-Testversion geplant und gestartet hast. Weitere Informationen findest du unter Planung für die Testversion von GitHub Advanced Security.
Einführung
GitHub Secret Protection-Features funktionieren in privaten und internen Repositorys auf die gleiche Weise wie in allen öffentlichen Repositorys. Dieser Artikel konzentriert sich auf die zusätzlichen Funktionen, die du verwenden kannst, um dein Unternehmen vor Sicherheitslecks zu schützen, wenn du GitHub Secret Protection verwendest. Dazu gehört Folgendes:
- Ermittle zusätzliche Zugriffstoken, die du verwendest, indem du benutzerdefinierte Muster definierst.
- Erkennen potenzieller Kennwörter mithilfe von KI
- Steuere und überwache den Umgehungsprozess für den Pushschutz und Warnungen zur Geheimnisüberprüfung.
- Aktivieren von Gültigkeitsprüfungen für verfügbar gemachte Token
Wenn du den Code in deiner Organisation bereits mithilfe der kostenlosen Risikobewertung von Geheimnissen auf kompromittierte Geheimnisse gescannt hast, solltest du diese Daten umfassender mithilfe der zusätzlichen Ansichten untersuchen, die auf der Registerkarte Security der Organisation verfügbar sind.
Ausführliche Informationen zu den verfügbaren Features findest du unter GitHub Secret Protection.
Sicherheitskonfiguration für Secret Protection
Die meisten Unternehmen entscheiden sich dafür, Secret Protection zu aktivieren und den Schutz an alle Repositorys zu pushen, indem sie Sicherheitskonfigurationen mit aktivierten Features anwenden. Dadurch wird sichergestellt, dass Repositorys auf Zugriffstoken überprüft werden, die bereits GitHub hinzugefügt wurden. Zusätzlich wird gemeldet, wenn Benutzer dabei sind, Token in GitHub offenzulegen. Informationen zum Erstellen einer Sicherheitskonfiguration auf Unternehmensebene und zum Anwenden auf deine Testrepositorys findest du unter Aktivieren von Sicherheitsfeatures in deinem Testunternehmen.
Gewähren des Zugriffs auf die Ergebnisse von secret scanning
Standardmäßig können nur der Repositoryadministrierende und der Organisationsbesitzer alle secret scanning-Warnungen in ihrem Bereich einsehen. Du solltest allen Organisationsteams und Benutzenden, die während der Testversion auf die Benachrichtigungen zugreifen möchten, die vordefinierte Sicherheitsmanager-Rolle zuweisen. Auch dem Besitzer des Enterprise-Kontos solltest du diese Rolle für jede Organisation in der Testversion zuweisen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsmanagern in deiner Organisation.
Auf der Registerkarte Security für das Unternehmen findest du eine Zusammenfassung aller Ergebnisse, die in den Organisationen in deinem Testunternehmen gefunden wurden. Es gibt auch separate Ansichten für jeden Sicherheitswarnungstyp. Weitere Informationen findest du unter Einblicke in die Sicherheit anzeigen.
Ermitteln zusätzlicher Zugriffstoken
Du kannst benutzerdefinierte Muster erstellen, um zusätzliche Zugriffstoken auf Repository-, Organisations- und Unternehmensebene zu ermitteln. In den meisten Fällen solltest du benutzerdefinierte Muster auf Unternehmensebene definieren, da dadurch sichergestellt wird, dass die Muster im gesamten Unternehmen verwendet werden. Es erleichtert auch die Verwaltung, wenn du ein Muster aktualisieren musst, weil sich das Format für ein Token ändert.
Nachdem du benutzerdefinierte Muster erstellt und veröffentlicht hast, enthalten sowohl secret scanning als auch der Pushschutz automatisch die neuen Muster in allen Überprüfungen. Ausführliche Informationen zum Erstellen benutzerdefinierter Muster findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.
Verwenden von KI zum Erkennen potenzieller Kennwörter
Auf Unternehmensebene hast du die volle Kontrolle darüber, ob du die Verwendung von KI zum Erkennen von Geheimnissen zulässt, die nicht mithilfe regulärer Ausdrücke erkannt werden können (auch als generische Geheimnisse oder als Nichtanbietermuster bezeichnet).
- Aktiviere oder deaktiviere das Feature für das gesamte Unternehmen.
- Lege eine Richtlinie fest, um die Steuerung des Features auf Organisations- und Repositoryebene zu blockieren.
- Lege eine Richtlinie fest, mit der Organisationsbesitzer oder Repositoryadministrierende das Feature steuern können.
Ähnlich wie bei benutzerdefinierten Mustern gilt: Wenn du die KI-Erkennung sowohl für secret scanning als auch für Pushschutz aktivierst, wird die KI-Erkennung in allen Überprüfungen automatisch verwendet. Informationen zur Steuerung auf Unternehmensebene findest du unter Konfigurieren zusätzlicher Geheimüberprüfungseinstellungen für deine Unternehmen und Erzwingen von Richtlinien für die Codesicherheit und -analyse für Unternehmen.
Steuern und Überwachen des Umgehungsprozesses
Wenn der Pushschutz einen Push an GitHub in einem öffentlichen Repository ohne GitHub Secret Protection blockiert, haben Benutzende zwei einfache Optionen: die Kontrolle umgehen oder den hervorgehobenen Inhalt aus dem Branch und seinem Verlauf entfernen. Wenn sie den Pushschutz umgehen möchten, wird automatisch eine secret scanning-Warnung erstellt. Auf diese Weise können Entwickelnde ihre Arbeit schnell fortsetzen, während gleichzeitig ein Überwachungspfad für die Inhalte vorhanden ist, die von secret scanning erkannt wurden.
Größere Teams sollten in der Regel eine engmaschigere Kontrolle über die potenzielle Veröffentlichung von Zugriffstoken und andere Geheimnisse pflegen. Mit GitHub Secret Protection kannst du eine Prüfergruppe definieren, um Anforderungen zur Umgehung des Pushschutzes zu genehmigen. Dadurch wird das Risiko verringert, dass Entwickelnde versehentlich ein Token offenlegen, das noch aktiv ist. Du kannst auch eine Reviewergruppe definieren, um Schließanforderungen von Warnungen zur Geheimnisüberprüfung zu genehmigen.
Reviewer werden in einer Sicherheitskonfiguration auf Organisationsebene oder in den Einstellungen für ein Repository definiert. Weitere Informationen finden Sie unter Info zur delegierten Umgehung für den Pushschutz.
Aktivieren von Gültigkeitsüberprüfungen
Du kannst Gültigkeitsprüfungen aktivieren, um zu überprüfen, ob erkannte Token weiterhin auf Repository-, Organisations- und Unternehmensebene aktiv sind. Im Allgemeinen lohnt es sich, dieses Feature im gesamten Unternehmen mithilfe von Sicherheitskonfigurationen auf Unternehmens- oder Organisationsebene zu aktivieren. Weitere Informationen finden Sie unter Aktivieren von Gültigkeitsüberprüfungen für Ihr Repository.
Nächste Schritte
Wenn du die zusätzlichen Kontrollen für Secret Protection aktiviert hast, kannst du sie nun anhand deiner Geschäftsanforderungen testen und ausführlicher erkunden. Unter Umständen bist du auch bereit, die in GitHub Code Security verfügbaren Optionen zu erkunden.