{"meta":{"title":"评估GitHub机密保护的影响","intro":"衡量如何 GitHub Secret Protection 减少整个组织中的机密泄露,以便展示价值并确定加强安全状况的区域。","product":"安全性和代码质量","breadcrumbs":[{"href":"/zh/code-security","title":"安全性和代码质量"},{"href":"/zh/code-security/tutorials","title":"Tutorials"},{"href":"/zh/code-security/tutorials/remediate-leaked-secrets","title":"修正泄露的机密"},{"href":"/zh/code-security/tutorials/remediate-leaked-secrets/assessing-ghsp-impact","title":"评估 GHSP 影响"}],"documentType":"article"},"body":"# 评估GitHub机密保护的影响\n\n衡量如何 GitHub Secret Protection 减少整个组织中的机密泄露,以便展示价值并确定加强安全状况的区域。\n\n## 介绍\n\n为你的组织启用GitHub Secret Protection(GHSP)后,你需要评估它的影响,并了解它如何保护你的组织。 本教程将指导你访问与机密相关的数据并解释结果以衡量 GHSP 性能。\n\n在本教程中,你将学习如何:\n\n* 访问组织的安全概述以查看 secret scanning 数据\n* secret risk assessment 查看 (SRA) 报告\n* 比较和分析数据以评估 GHSP 的影响\n\n如果你在 GHSP 推出之前没有历史性的 SRA 报告,你仍然可以评估 GHSP 的有效性。 跳到 [步骤 4:分析安全概述数据趋势](#step-4-analyze-security-overview-data-trends)。\n\n## 先决条件\n\n* 你需要具有组织所有者或安全经理角色。\n* Secret Protection 必须为组织启用。\n\n## 步骤 1:访问组织级安全概述\n\n安全概述提供有关整个组织的实时数据 机密扫描警报 。\n\n1. 在 GitHub 上,导航到组织的主页面。\n2. 在组织名称下,单击 ** Security and quality** 该选项卡。\n3. 在安全概述页上,单击“ **风险** ”选项卡以查看机密扫描数据。\n 概述显示:\n * 打开总数 机密扫描警报\n * 一段时间内的警报趋势\n * 按存储库细分\n * 警报严重性分布\n\n## 步骤 2:查看 secret risk assessment 报表\n\n如果以前运行过 SRA 报表,则可以访问该报表以建立基线。\n\n1. 在 GitHub 上,导航到组织的主页面。\n2. 在组织名称下,单击 ** Security and quality** 该选项卡。\n3. 在边栏的“Security”下,单击“ Assessments”\\*\\*\\*\\*。\n4. 查看评估的关键指标,包括:\n * 检测到的公开机密数\n * 找到的机密类型\n * 风险最高的存储库\n * 建议的修正操作\n\n> \\[!NOTE] SRA 报告快照显示在 GHSP 项目实施之前或期间机密信息泄露的情况。\n\n## 步骤 3:比较 SRA 数据与当前安全概述\n\nSRA 报表是在 GHSP 推出之前或期间拍摄的时间点快照,而安全概述显示实时更新的数据,随着警报的打开和解决而更新。 若要进行有意义的比较,需要确保这两个数据集都涵盖相同的机密类型。\n\n### 筛选出可比较的类型模式\n\nSRA 报告仅检测 **提供程序模式** 和 **泛型模式**。 但是,安全概述还可能包含自启用 GHSP 以来配置的自定义模式的结果。 若要确保进行准确的比较,请在安全概述中筛选出与 SRA 所涵盖的相同模式类型。\n\n#### 使用该 UI\n\n在“安全概述 **风险** ”选项卡中,使用筛选栏将结果缩小到提供程序和泛型模式,不包括任何自定义模式。\n\n#### 使用应用程序编程接口 (API)\n\n或者,可以使用 REST API 以编程方式检索按机密类型筛选的警报。 例如,仅列出存储库中的默认项(服务提供商):机密扫描警报\n\n```shell copy\ngh api \\\n -H \"Accept: application/vnd.github+json\" \\\n /orgs/ORG/secret-scanning/alerts --paginate\n```\n\n这仅返回默认模式的警报。 若要在结果中包含泛型模式,请使用 `secret_type` 参数传递特定的令牌名称。\n\n有关详细信息,请参阅“[适用于机密扫描的 REST API 终结点](/zh/rest/secret-scanning/secret-scanning)”。\n\n### 创建比较\n\n1. 使用筛选的数据,使用以下关键指标创建比较表:\n\n | 指标 | SRA 报告 (基准) | 当前安全概述 (已筛选) | Change |\n | ------- | ----------- | ------------ | ------ |\n | 公开的机密总数 | \\[SRA编号] | \\[当前数字] | \\[差异] |\n | 重要警报 | \\[SRA 编号] | \\[当前数字] | \\[差异] |\n | 受影响的存储库 | \\[SRA 号码] | \\[当前数字] | \\[差异] |\n\n2. 计算每个指标的百分比更改:\n * **积极影响指标:** 减少公开的机密总数,减少关键警报\n * **改进方面:** 出现新的警报,特定存储库呈上升趋势\n\n3. 请注意以下方面的任何显著差异:\n * 检测到的机密类型\n * 存储库覆盖范围\n * 警报解决率\n\n## 步骤 4:分析安全概述数据趋势\n\n即使没有 SRA 报告,也可以通过分析安全概述中的趋势来评估 GHSP 有效性。\n\n1. 在 GitHub 上,导航到组织的主页面。\n\n2. 在组织名称下,单击 ** Security and quality** 该选项卡。\n\n3. 在“安全概述 **风险** ”选项卡中,查看随时间推移显示 机密扫描警报 的趋势图。\n\n4. 识别规律:\n * **下降趋势:** 指示成功的修正和预防\n * **高原:** 可能表示系统进入了稳定状态或需要提高警觉\n * **上升趋势:** 可能表示检测覆盖率增加或引入新的秘密\n\n5. 单击每个存储库以深入查看特定警报的详细信息。\n\n6. 查看警报解决率:\n * 导航至你所在组织的\\*\\* Security and quality\\*\\* 标签页。\n * 在“查找”下,单击 **Secret scanning**。\n * 检查已关闭的警报数与保持打开状态的警报数。\n * 选择感兴趣的警报类型。\n * 评估平均解决时间。\n\n## 步骤 5:解释结果并采取措施\n\n根据分析确定后续步骤。\n\n### 如果您看到积极的趋势\n\n* 记录改进以演示 GHSP 值\n* 确定跨其他存储库复制的成功做法\n* 考虑将 GHSP 覆盖范围扩展到其他存储库或组织\n\n### 如果你看到需要改进的空间\n\n* 查看具有增加警报或缓慢解决时间的存储库\n* 为开发团队提供其他培训\n* 评估是否需要配置自定义模式\n* 检查是否启用了推送保护以防止引入新机密\n\n### 持续监视\n\n* 安排定期评审安全概述(每周或每月)\n* 为新机密扫描警报设置通知\n* 跟踪一段时间内的指标,以演示持续改进\n\n## 延伸阅读\n\n* secret scanning若要详细了解指标,请参阅 [查看安全洞察](/zh/code-security/security-overview/viewing-security-insights)。"}