Erkunden deiner Enterprise-Testversion von GitHub Secret Protection

Einführung in die Features, die mit GitHub Secret Protection in GitHub Enterprise Cloud verfügbar sind, damit du bewerten kannst, ob sie für deine Geschäftsanforderungen geeignet sind

In diesem Artikel

In diesem Leitfaden wird davon ausgegangen, dass du für ein bestehendes GitHub-Enterprise-Konto eine GitHub Advanced Security-Testversion geplant und gestartet hast. Weitere Informationen findest du unter Planung für die Testversion von GitHub Advanced Security.

Einleitung

GitHub Secret Protection-Features funktionieren in privaten und internen Repositorys auf die gleiche Weise wie in allen öffentlichen Repositorys. Dieser Artikel konzentriert sich auf die zusätzlichen Funktionen, die du verwenden kannst, um dein Unternehmen vor Sicherheitslecks zu schützen, wenn du GitHub Secret Protection verwendest. Dazu gehört Folgendes:

  • Ermittle zusätzliche Zugriffstoken, die du verwendest, indem du benutzerdefinierte Muster definierst.
  • Erkennen potenzieller Kennwörter mithilfe von KI
  • Steuere und überwache den Umgehungsprozess für den Pushschutz und Warnungen zur Geheimnisüberprüfung.
  • Aktiviere Gültigkeitsüberprüfungen für offengelegte Token.

Informationen zum Ausführen einer kostenlosen Risikobewertung für Geheimnisse findest du unter Generieren einer ersten Geheimnisrisikobewertung in der GitHub Enterprise Cloud-Dokumentation.

Wenn du den Code in deiner Organisation bereits mithilfe der kostenlosen Risikobewertung von Geheimnissen auf kompromittierte Geheimnisse gescannt hast, solltest du diese Daten umfassender mithilfe der zusätzlichen Ansichten untersuchen, die auf der Registerkarte Security der Organisation verfügbar sind.

Ausführliche Informationen zu den verfügbaren Features findest du unter GitHub Secret Protection.

Sicherheitskonfiguration für Secret Protection

Die meisten Unternehmen entscheiden sich dafür, Secret Protection zu aktivieren und den Schutz an alle Repositorys zu pushen, indem sie Sicherheitskonfigurationen mit aktivierten Features anwenden. Dadurch wird sichergestellt, dass Repositorys auf Zugriffstoken überprüft werden, die bereits GitHub hinzugefügt wurden. Zusätzlich wird gemeldet, wenn Benutzer dabei sind, Token in GitHub offenzulegen. Informationen zum Erstellen einer Sicherheitskonfiguration auf Unternehmensebene und zum Anwenden auf Ihre Testrepositorys finden Sie unter Aktivieren von Sicherheitsfunktionen in deinem Test-Unternehmen.

Erteilen des Zugriffs auf die Ergebnisse von secret scanning

Standardmäßig können nur der Verwalter des Repositorys und der Besitzer der Organisation alle secret scanning-Warnungen in ihrem Bereich einsehen. Sie sollten allen Organisationsteams und Benutzenden, die während der Ausführung der Testversion auf Benachrichtigungen zugreifen möchten, die vordefinierte Sicherheitsmanager-Rolle zuweisen. Sie sollten diese Rolle auch dem Besitzer des Unternehmenskontos für jede Organisation in der Testversion zuweisen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsmanagern in deiner Organisation.

Auf der Registerkarte Security für das Unternehmen findest du eine Zusammenfassung aller Ergebnisse, die in den Organisationen in deinem Testunternehmen gefunden wurden. Es gibt auch separate Ansichten für jeden Sicherheitswarnungstyp. Weitere Informationen findest du unter Einblicke in die Sicherheit anzeigen.

Ermitteln zusätzlicher Zugriffstoken

Sie können benutzerdefinierte Muster erstellen, um zusätzliche Zugriffstoken auf Repository-, Organisations- und Unternehmensebene zu identifizieren. In den meisten Fällen sollten Sie benutzerdefinierte Muster auf Unternehmensebene definieren. Dies stellt sicher, dass die Muster im gesamten Unternehmen verwendet werden. Es vereinfacht auch die Verwaltung, wenn Sie ein Muster aktualisieren müssen, weil das Format für ein Token geändert wurde.

Nach der Erstellung und Veröffentlichung benutzerdefinierter Muster schließen sowohl secret scanning als auch der Pushschutz die neuen Muster automatisch in alle Überprüfungen ein. Ausführliche Informationen zum Erstellen benutzerdefinierter Muster finden Sie unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.

Verwenden von KI zum Erkennen potenzieller Kennwörter

Auf der Unternehmensebene haben Sie die volle Kontrolle darüber, ob die Verwendung von KI zum Erkennen von Geheimnissen zulässig ist, die nicht mittels regulärer Ausdrücke erkannt werden können (auch als „generische Geheimnisse“ oder „Nicht-Anbieter-Muster“ bezeichnet).

  • Sie können die Funktion für das gesamte Unternehmen aktivieren oder deaktivieren.
  • Sie können eine Richtlinie festlegen, um die Steuerung der Funktion auf Organisations- und Repositoryebene zu blockieren.
  • Sie können eine Richtlinie festlegen, um die Steuerung der Funktion durch Organisationsbesitzer oder Repositoryverwalter zuzulassen.

Ähnlich wie bei benutzerdefinierten Mustern gilt: Wenn Sie die KI-Erkennung sowohl für secret scanning als auch für den Pushschutz aktivieren, wird die KI-Erkennung automatisch bei allen Überprüfungen verwendet. Informationen zur Steuerung auf Unternehmensebene finden Sie unter Zusätzliche Einstellungen für Secret Scanning für dein Unternehmen festlegen und Erzwingen von Richtlinien für die Codesicherheit und -analyse für Unternehmen.

Steuern und Überwachen des Umgehungsprozesses

Wenn der Pushschutz einen Push an GitHub in einem öffentlichen Repository ohne GitHub Secret Protection blockiert, haben Benutzende zwei einfache Optionen: die Kontrolle umgehen oder den hervorgehobenen Inhalt aus dem Branch und seinem Verlauf entfernen. Wenn sie den Pushschutz umgehen möchten, wird automatisch eine secret scanning-Warnung erstellt. Auf diese Weise können Entwickler ihre Arbeit schnell fortsetzen, während gleichzeitig ein Überwachungspfad für die Inhalte vorhanden ist, die von secret scanning erkannt wurden.

Größere Teams sollten in der Regel eine engmaschigere Kontrolle über die potenzielle Veröffentlichung von Zugriffstoken und andere Geheimnisse pflegen. Mit GitHub Secret Protection kannst du eine Prüfergruppe definieren, um Anforderungen zur Umgehung des Pushschutzes zu genehmigen. Dadurch wird das Risiko verringert, dass Entwickelnde versehentlich ein Token offenlegen, das noch aktiv ist. Du kannst auch eine Reviewergruppe definieren, um Schließanforderungen von Warnungen zur Geheimnisüberprüfung zu genehmigen.

Reviewer werden in einer Sicherheitskonfiguration auf Organisationsebene oder in den Einstellungen für ein Repository definiert. Weitere Informationen finden Sie unter Info zur delegierten Umgehung für den Pushschutz.

Aktivieren von Gültigkeitsprüfungen

Sie können Gültigkeitsprüfungen aktivieren, um zu überprüfen, ob erkannte Token weiterhin auf Repository-, Organisations- und Unternehmensebene aktiv sind. Im Allgemeinen lohnt es sich, dieses Feature im gesamten Unternehmen mithilfe von Sicherheitskonfigurationen auf Unternehmens- oder Organisationsebene zu aktivieren. Weitere Informationen findest du unter Aktivieren von Gültigkeitsprüfungen für dein Repository in der GitHub Enterprise Cloud-Dokumentation.

Nächste Schritte

Wenn du die zusätzlichen Kontrollen für Secret Protection aktiviert hast, kannst du sie nun anhand deiner Geschäftsanforderungen testen und ausführlicher erkunden. Unter Umständen bist du auch bereit, die in GitHub Code Security verfügbaren Optionen zu erkunden.

  •         [AUTOTITLE](/code-security/trialing-github-advanced-security/explore-trial-code-scanning)

  •           [Durchsetzen von GitHub Advanced Security in großem Umfang](https://wellarchitected.github.com/library/application-security/recommendations/enforce-ghas-at-scale/)