{"meta":{"title":"Оценка влияния секретной защиты GitHub","intro":"Измеряйте, как GitHub Secret Protection снижает уязвимость секретов в вашей организации, чтобы продемонстрировать ценность и выявить области для укрепления вашей безопасности.","product":"Безопасность и качество кода","breadcrumbs":[{"href":"/ru/enterprise-cloud@latest/code-security","title":"Безопасность и качество кода"},{"href":"/ru/enterprise-cloud@latest/code-security/tutorials","title":"Tutorials"},{"href":"/ru/enterprise-cloud@latest/code-security/tutorials/remediate-leaked-secrets","title":"Исправление утечок секретов"},{"href":"/ru/enterprise-cloud@latest/code-security/tutorials/remediate-leaked-secrets/assessing-ghsp-impact","title":"Оценка воздействия GHSP"}],"documentType":"article"},"body":"# Оценка влияния секретной защиты GitHub\n\nИзмеряйте, как GitHub Secret Protection снижает уязвимость секретов в вашей организации, чтобы продемонстрировать ценность и выявить области для укрепления вашей безопасности.\n\n## Введение\n\nПосле включения GitHub Secret Protection (GHSP) для вашей организации вам стоит оценить его влияние и понять, как она защищает вашу организацию. Этот урок проведёт вас через доступ к секретным данным и интерпретацию результатов для измерения эффективности GHSP.\n\nВ этом руководстве описано, как:\n\n* Получите обзор безопасности вашей организации, чтобы просмотреть secret scanning данные\n* Ознакомьтесь secret risk assessment с отчётом (SRA)\n* Сравнивайте и анализируйте данные для оценки влияния GHSP\n\nЕсли у вас нет исторического отчета SRA до внедрения GHSP, вы всё равно можете оценить эффективность GHSP. Перейдём к [шагу 4: Анализируйте тенденции данных обзора безопасности](#step-4-analyze-security-overview-data-trends).\n\n## Необходимые условия\n\n* Вам нужна роль владельца организации или менеджера по безопасности.\n* Secret Protection должно быть включено для вашей организации.\n\n## Шаг 1: Получить доступ к обзору безопасности на уровне организации\n\nОбзор безопасности предоставляет данные в реальном времени по Оповещения о сканировании секретов всей вашей организации.\n\n1. На GitHubперейдите на главную страницу организации.\n2. Под названием вашей организации нажмите вкладку **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security and quality** .\n3. На странице обзора безопасности нажмите на **вкладку «Риски** », чтобы просмотреть данные секретного сканирования.\n   Обзор показывает:\n   * Общее количество открытых Оповещения о сканировании секретов\n   * Тенденции оповещений со временем\n   * Разбивка по репозиториям\n   * Распределение степени оповещения\n\n## Шаг 2: Просмотрите свой secret risk assessment отчёт\n\nЕсли вы ранее запускали отчёт SRA, вы можете получить доступ к отчёту, чтобы установить исходную точку.\n\n1. На GitHubперейдите на главную страницу организации.\n2. Под названием вашей организации нажмите вкладку **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security and quality** .\n3. На боковой панели в разделе \"Безопасность\" щелкните **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-key\" aria-label=\"key\" role=\"img\"><path d=\"M10.5 0a5.499 5.499 0 1 1-1.288 10.848l-.932.932a.749.749 0 0 1-.53.22H7v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22H5v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22h-2A1.75 1.75 0 0 1 0 14.25v-2c0-.199.079-.389.22-.53l4.932-4.932A5.5 5.5 0 0 1 10.5 0Zm-4 5.5c-.001.431.069.86.205 1.269a.75.75 0 0 1-.181.768L1.5 12.56v1.69c0 .138.112.25.25.25h1.69l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l1.023-1.025a.75.75 0 0 1 .768-.18A4 4 0 1 0 6.5 5.5ZM11 6a1 1 0 1 1 0-2 1 1 0 0 1 0 2Z\"></path></svg> Оценки**.\n4. Ознакомьтесь с ключевыми показателями оценки, включая:\n   * Количество раскрытых секретов\n   * Виды найденных секретов\n   * Хранилища с наивысшим риском\n   * Рекомендуемые меры по устранению\n\n> \\[!NOTE] Отчёт SRA представляет собой момент в момент времени вашего секретного раскрытия до или во время внедрения GHSP.\n\n## Шаг 3: Сравните данные SRA с текущим обзором безопасности\n\nОтчет SRA — это снимок **в момент времени** , сделанный до или во время запуска GHSP, а обзор безопасности показывает **данные в реальном времени** , которые обновляются по мере открытия и решения оповещений. Чтобы провести содержательное сравнение, нужно убедиться, что оба набора данных охватывают одни и те же типы секретов.\n\n### Фильтруйте по сопоставимым типам узоров\n\nОтчёт SRA обнаруживает только **шаблоны поставщиков** и **общие шаблоны**. Однако обзор безопасности может включать результаты из пользовательских шаблонов, которые вы настроили после включения GHSP. Для точного сравнения фильтруйте обзор безопасности по тем же типам шаблонов, которые охватывает SRA.\n\n#### Использование пользовательского интерфейса\n\nВо вкладке « **Риски** » обзора безопасности используйте панель фильтра, чтобы сузить результаты только до провайдеров и универсальных шаблонов, исключая пользовательские шаблоны.\n\n#### Использование API\n\nВ качестве альтернативы можно использовать REST API для программного извлечения оповещений, отфильтрованных по типу секрета. Например, указать только по умолчанию (провайдера) Оповещения о сканировании секретов для репозитория:\n\n```shell copy\ngh api \\\n  -H \"Accept: application/vnd.github+json\" \\\n  /orgs/ORG/secret-scanning/alerts --paginate\n```\n\nЭто возвращает оповещения только для шаблонов по умолчанию. Чтобы включить общие шаблоны в результаты, передайте конкретные имена токенов с помощью параметра `secret_type` .\n\nДополнительные сведения см. в разделе [Конечные точки REST API для проверки секретов](/ru/enterprise-cloud@latest/rest/secret-scanning/secret-scanning).\n\n### Постройте своё сравнение\n\n1. Используя отфильтрованные данные, создайте таблицу сравнения с такими ключевыми метриками:\n\n   | Единица измерения        | Отчёт SRA (Базовый) | Обзор текущей безопасности (отфильтрованный) | Change     |\n   | ------------------------ | ------------------- | -------------------------------------------- | ---------- |\n   | Полные раскрытые секреты | \\[Номер SRA]        | \\[Текущий номер]                             | \\[Разница] |\n   | Критические оповещения   | \\[Номер SRA]        | \\[Текущий номер]                             | \\[Разница] |\n   | Затронутые хранилища     | \\[Номер SRA]        | \\[Текущий номер]                             | \\[Разница] |\n\n2. Рассчитайте процентное изменение по каждой метрике:\n   * **Положительные показатели воздействия:** Уменьшение общего числа раскрытых секретов, меньшее количество критических предупреждений\n   * **Области для улучшения:** Появляются новые оповещения, конкретные репозитории с растущими тенденциями\n\n3. Обратите внимание на значительные различия в:\n   * Обнаруженные секретные типы\n   * Покрытие репозиториев\n   * Показатели разрешения оповещений\n\n## Шаг 4: Анализ тенденций данных по обзору безопасности\n\nДаже без отчета SRA вы можете оценить эффективность GHSP, анализируя тенденции в обзоре безопасности.\n\n1. На GitHubперейдите на главную страницу организации.\n\n2. Под названием вашей организации нажмите вкладку **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security and quality** .\n\n3. Во вкладке « **Риски** » обзора безопасности посмотрите график Оповещения о сканировании секретов трендов с течением времени.\n\n4. Выявляйте закономерности:\n   * **Тенденция снижения:** Указывает на успешную рекультивацию и профилактику\n   * **Плато:** Это может указывать на устойчивое состояние или необходимость повышения осознанности\n   * **Растущая тенденция:** Может указывать на расширение покрытия обнаружения или новое секретное введение\n\n5. Кликните на отдельные репозитории, чтобы подробно изучить конкретные детали оповещений.\n\n6. Ознакомьтесь с показателем разрешения оповещений:\n   * Перейдите к **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security and quality** вкладке вашей организации.\n   * В разделе «Выводы» нажмите **Secret scanning**.\n   * Проверьте, сколько оповещений было закрыто по сравнению с тем, сколько оставшихся открытыми.\n   * Выберите тип оповещения, который вас интересует.\n   * Оцените среднее время до разрешения.\n\n## Шаг 5: Интерпретировать результаты и предпринять меры\n\nОсновываясь на вашем анализе, определите следующие шаги.\n\n### Если вы видите положительные тенденции\n\n* Документируйте улучшение, чтобы продемонстрировать ценность GHSP\n* Определите успешные практики для повторения в других репозиториях\n* Рассмотрите возможность расширения покрытия GHSP на дополнительные хранилища или организации\n\n### Если вы видите области для улучшения\n\n* Проверяйте репозитории с увеличением оповещений или замедленным разрешением\n* Обеспечение дополнительного обучения командам разработки\n* Оцените, нужно ли настроить пользовательские шаблоны\n* Проверьте, включена ли защита от push, чтобы предотвратить появление новых секретов\n\n### Постоянный мониторинг\n\n* Планируйте регулярные проверки (еженедельно или ежемесячно) обзора безопасности\n* Настройте уведомления для новых Оповещения о сканировании секретов\n* Отслеживайте метрики во времени для демонстрации постоянного улучшения\n\n## Дополнительные материалы\n\n* Чтобы подробно понять secret scanning метрики, см. [Просмотр аналитических сведений о безопасности](/ru/enterprise-cloud@latest/code-security/security-overview/viewing-security-insights)."}