GitHub如何使用机密扫描到达收件箱零

GitHub在15,000个存储库中拥有20,000多个秘密扫描警报。以下是我们如何将信号与噪音分开,构建补救工作流程,并在九个月内达到收件箱零。GitHub如何使用秘密扫描到达收件箱零的帖子首先出现在GitHub博客上。

Michael Recachinas是GitHub的员工安全工程师,负责领导专注于漏洞管理、安全开发生命周期工具和开发人员至上的安全自动化的大规模安全计划。在他的职业生涯中,他一直在构建大规模运营的系统,并帮助团队轻松做出安全的选择。几年前, GitHub Security发起了一项倡议,以评估和改善我们的整体秘密卫生。

作为这项工作的一部分,我们试用了当时正在开发的秘密扫描功能。就在那时,我们在15,000多个存储库中发现了20,000多个秘密。这个数字远远高于我们的预期,但很快就清楚了,成功与否取决于确定哪些警报代表了真正的风险,分配所有权,并安全地进行补救。

九个月后,我们达到了零开放警报。新的秘密扫描客户经常问我们: “您如何在内部管理?你实际上是如何清理你现有的秘密的?“像许多长期运营的软件公司一样, GitHub的秘密管理方法随着时间的推移而发展。

GitHub成立于2008年,在今天的集中式保管库、自动秘密扫描和专用秘密管理平台在整个行业中普遍存在之前。随着工程实践的成熟和GitHub的发展,我们继续投资于更强大的控制、更好的工具和传统模式的系统性风险降低。

这项工作体现了我们一贯的承诺,即提高安全性,减少风险,并确保我们的内部实践符合我们对整个行业的期望。这篇博客文章分享了在这项工作中对我们有效的内容,并重点介绍了您可以应用的策略,以更好地保护自己的秘密。