Anzeigen der Risikobewertung von Geheimnissen für deine Organisation

Du kannst den Bericht zur secret risk assessment für deine Organisation über die Registerkarte „Security“ generieren und anzeigen.

Wer kann dieses Feature verwenden?

Organization owners and security managers

In diesem Artikel

GitHub bietet einen Bericht mit einer Risikobewertung von Geheimnissen, den Personen mit den Rollen „Organisationsbesitzer“ und „Sicherheitsmanager“ generieren können, um die Gefährdung einer Organisation hinsichtlich kompromittierter Geheimnisse auszuwerten. Die secret risk assessment ist ein On-Demand-Scan des Organisationscodes zu einem bestimmten Zeitpunkt, der:

  • alle kompromittierten Geheimnisse innerhalb der Organisation zeigt
  • die Geheimnisse anzeigt, die an Dritte außerhalb der Organisation weitergegeben wurden
  • handlungsrelevante Erkenntnisse zur Behebung bietet Weitere Informationen zum Bericht findest du unter Informationen zur Risikobewertung von Geheimnissen.

Du kannst den Bericht zur secret risk assessment für deine Organisation generieren, ihn überprüfen und die Ergebnisse in eine CSV-Datei exportieren.

Note

Der Bericht zur secret risk assessment befindet sich derzeit in der public preview. Änderungen sind vorbehalten. Wenn du Feedback oder Fragen hast, nimm an der Diskussion in GitHub Community teil – wir hören zu.

Generieren einer initialen secret risk assessment

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Klicke auf der Randleiste unter „Security“ auf Assessments. 1. Um die secret risk assessment zu generieren, klicke auf Scan your organization.

Wenn du ein Organisationsbesitzer bist und E-Mail-Benachrichtigungen aktiviert hast, sendet dir GitHub eine E-Mail, um dich darüber zu informieren, wann der Bericht einsehbar ist.

Konntest du den Bericht zur secret risk assessment erfolgreich für deine Organisation generiert?

Ja Nein

Erneutes Ausführen der secret risk assessment

Tip

Du kannst den Bericht nur einmal alle 90 Tage generieren. Es wird empfohlen, GitHub Secret Protection für die kontinuierliche Geheimnisüberwachung und Prävention zu implementieren. Weitere Informationen findest du unter Auswahl von GitHub Secret Protection.

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Klicke auf der Randleiste unter „Security“ auf Assessments.

  4. Klicke oben rechts im bestehenden Bericht auf .

  5. Wähle Rerun scan aus.

    Wenn du ein Organisationsbesitzer bist und E-Mail-Benachrichtigungen aktiviert hast, sendet dir GitHub eine E-Mail, um dich darüber zu informieren, wann der Bericht einsehbar ist.

Anzeigen der secret risk assessment

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Klicke auf der Randleiste unter „Security“ auf Assessments. Auf dieser Seite findest du den neuesten Bericht.

Exportieren der secret risk assessment in einer CSV-Datei

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Klicke auf der Randleiste unter „Security“ auf Assessments.

  4. Klicke oben rechts im Bericht auf .

  5. Wähle Download CSV aus.

Die CSV-Datei zur secret risk assessment enthält die folgenden Informationen.

CSV-SpalteNameBESCHREIBUNG
AOrganization NameDer Name der Organisation, in der das Geheimnis erkannt wurde
bNameDer Tokenname für den Geheimnistyp
KSlugDie normalisierte Zeichenfolge für das Token. Sie entspricht Token in der Tabelle der unterstützten Geheimnisse. Weitere Informationen findest du unter Unterstützte Scanmuster für geheime Schlüssel.
DPush ProtectedEin boolean-Wert, der angibt, ob das Geheimnis nach einer Aktivierung erkannt und blockiert werden würde
ENon-Provider PatternEin boolean-Wert, der angibt, ob das Geheimnis mit einem anbieterfremden Muster übereinstimmt und eine Warnung auslösen würde, wenn secret scanning mit anbieterfremden Mustern aktiviert wäre
FSecret CountDie aggregierte Anzahl der aktiven und inaktiven Geheimnisse, die für den Tokentyp gefunden wurden
GRepository CountDie aggregierte Anzahl unterschiedlicher Repositorys, in denen der Geheimnistyp gefunden wurde, einschließlich öffentlicher, privater und archivierter Repositorys

Nächste Schritte

Nachdem du nun die secret risk assessment für deine Organisation generiert hast, erfährst du im nächsten Schritt, wie du die Ergebnisse interpretierst. Weitere Informationen findest du unter Interpretieren von Ergebnissen zur Risikobewertung von Geheimnissen.