# 评估GitHub机密保护的影响

衡量如何 GitHub Secret Protection 减少整个组织中的机密泄露，以便展示价值并确定加强安全状况的区域。

## 介绍

为你的组织启用GitHub Secret Protection(GHSP)后，你需要评估它的影响，并了解它如何保护你的组织。 本教程将指导你访问与机密相关的数据并解释结果以衡量 GHSP 性能。

在本教程中，你将学习如何：

* 访问组织的安全概述以查看 secret scanning 数据
* secret risk assessment 查看 （SRA） 报告
* 比较和分析数据以评估 GHSP 的影响

如果你在 GHSP 推出之前没有历史性的 SRA 报告，你仍然可以评估 GHSP 的有效性。 跳到 [步骤 4：分析安全概述数据趋势](#step-4-analyze-security-overview-data-trends)。

## 先决条件

* 你需要具有组织所有者或安全经理角色。
* Advanced Security 必须为组织启用。

## 步骤 1：访问组织级安全概述

安全概述提供有关整个组织的实时数据 机密扫描警报 。

1. 在 GitHub 上，导航到组织的主页面。
2. 在组织名称下，单击 **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security** 该选项卡。
3. 在安全概述页上，单击“ **风险** ”选项卡以查看机密扫描数据。
   概述显示：
   * 打开总数 机密扫描警报
   * 一段时间内的警报趋势
   * 按存储库细分
   * 警报严重性分布

## 步骤 2：查看 secret risk assessment 报表

如果以前运行过 SRA 报表，则可以访问该报表以建立基线。

1. 在 GitHub 上，导航到组织的主页面。
2. 在组织名称下，单击 **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security** 该选项卡。
3. 在边栏的“Security”下，单击“<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-key" aria-label="key" role="img"><path d="M10.5 0a5.499 5.499 0 1 1-1.288 10.848l-.932.932a.749.749 0 0 1-.53.22H7v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22H5v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22h-2A1.75 1.75 0 0 1 0 14.25v-2c0-.199.079-.389.22-.53l4.932-4.932A5.5 5.5 0 0 1 10.5 0Zm-4 5.5c-.001.431.069.86.205 1.269a.75.75 0 0 1-.181.768L1.5 12.56v1.69c0 .138.112.25.25.25h1.69l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l1.023-1.025a.75.75 0 0 1 .768-.18A4 4 0 1 0 6.5 5.5ZM11 6a1 1 0 1 1 0-2 1 1 0 0 1 0 2Z"></path></svg> Assessments”\*\*\*\*。
4. 查看评估的关键指标，包括：
   * 检测到的公开机密数
   * 找到的机密类型
   * 风险最高的存储库
   * 建议的修正操作

> \[!NOTE] SRA 报告快照显示在 GHSP 项目实施之前或期间机密信息泄露的情况。

## 步骤 3：比较 SRA 数据与当前安全概述

SRA 报表是在 GHSP 推出之前或期间拍摄的时间点快照，而安全概述显示实时更新的数据，随着警报的打开和解决而更新。 若要进行有意义的比较，需要确保这两个数据集都涵盖相同的机密类型。

### 筛选出可比较的类型模式

SRA 报告仅检测 **提供程序模式** 和 **泛型模式**。 但是，安全概述还可能包含自启用 GHSP 以来配置的自定义模式的结果。 若要确保进行准确的比较，请在安全概述中筛选出与 SRA 所涵盖的相同模式类型。

#### 使用该 UI

在“安全概述 **风险** ”选项卡中，使用筛选栏将结果缩小到提供程序和泛型模式，不包括任何自定义模式。

#### 使用应用程序编程接口 (API)

或者，可以使用 REST API 以编程方式检索按机密类型筛选的警报。 例如，仅列出存储库中的默认项（服务提供商）：机密扫描警报

```shell copy
gh api \
  -H "Accept: application/vnd.github+json" \
  /orgs/ORG/secret-scanning/alerts --paginate
```

这仅返回默认模式的警报。 若要在结果中包含泛型模式，请使用 `secret_type` 参数传递特定的令牌名称。

有关详细信息，请参阅“[适用于机密扫描的 REST API 终结点](/zh/enterprise-server@3.16/rest/secret-scanning/secret-scanning)”。

### 创建比较

1. 使用筛选的数据，使用以下关键指标创建比较表：

   | 指标      | SRA 报告 （基准） | 当前安全概述 （已筛选） | Change |
   | ------- | ----------- | ------------ | ------ |
   | 公开的机密总数 | \[SRA编号]    | \[当前数字]      | \[差异]  |
   | 重要警报    | \[SRA 编号]   | \[当前数字]      | \[差异]  |
   | 受影响的存储库 | \[SRA 号码]   | \[当前数字]      | \[差异]  |

2. 计算每个指标的百分比更改：
   * **积极影响指标：** 减少公开的机密总数，减少关键警报
   * **改进方面：** 出现新的警报，特定存储库呈上升趋势

3. 请注意以下方面的任何显著差异：
   * 检测到的机密类型
   * 存储库覆盖范围
   * 警报解决率

## 步骤 4：分析安全概述数据趋势

即使没有 SRA 报告，也可以通过分析安全概述中的趋势来评估 GHSP 有效性。

1. 在 GitHub 上，导航到组织的主页面。

2. 在组织名称下，单击 **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security** 该选项卡。

3. 在“安全概述 **风险** ”选项卡中，查看随时间推移显示 机密扫描警报 的趋势图。

4. 识别规律：
   * **下降趋势：** 指示成功的修正和预防
   * **高原：** 可能表示系统进入了稳定状态或需要提高警觉
   * **上升趋势：** 可能表示检测覆盖率增加或引入新的秘密

5. 单击每个存储库以深入查看特定警报的详细信息。

6. 查看警报解决率：
   * 导航至你所在组织的\*\*<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security\*\* 标签页。
   * 在“查找”下，单击 **Secret scanning**。
   * 检查已关闭的警报数与保持打开状态的警报数。
   * 选择感兴趣的警报类型。
   * 评估平均解决时间。

## 步骤 5：解释结果并采取措施

根据分析确定后续步骤。

### 如果您看到积极的趋势

* 记录改进以演示 GHSP 值
* 确定跨其他存储库复制的成功做法
* 考虑将 GHSP 覆盖范围扩展到其他存储库或组织

### 如果你看到需要改进的空间

* 查看具有增加警报或缓慢解决时间的存储库
* 为开发团队提供其他培训
* 评估是否需要配置自定义模式
* 检查是否启用了推送保护以防止引入新机密

### 持续监视

* 安排定期评审安全概述（每周或每月）
* 为新机密扫描警报设置通知
* 跟踪一段时间内的指标，以演示持续改进

## 延伸阅读

* secret scanning若要详细了解指标，请参阅 [查看安全洞察](/zh/enterprise-server@3.16/code-security/security-overview/viewing-security-insights)。