{"meta":{"title":"解释机密风险评估结果","intro":"了解你的 secret risk assessment 结果，并确定泄漏修正的优先级。","product":"安全性和代码质量","breadcrumbs":[{"href":"/zh/code-security","title":"安全性和代码质量"},{"href":"/zh/code-security/tutorials","title":"Tutorials"},{"href":"/zh/code-security/tutorials/secure-your-organization","title":"保护你的组织"},{"href":"/zh/code-security/tutorials/secure-your-organization/interpreting-secret-risk-assessment-results","title":"解释机密风险评估"}],"documentType":"article"},"body":"# 解释机密风险评估结果\n\n了解你的 secret risk assessment 结果，并确定泄漏修正的优先级。\n\n## 介绍\n\n在本教程中，你将解释机密风险评估结果，并了解如何：\n\n* 了解仪表板上的风险指标\n* 识别高风险机密泄漏\n* 确定用于修正的机密的优先级\n\n## 先决条件\n\n必须生成 secret risk assessment 报表并等待扫描完成。 请参阅“[为您的组织运行保密风险评估](/zh/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/assess-your-secret-risk)”。\n\n## 步骤 1：了解仪表板指标\n\n评估完成后，请查看仪表板顶部的关键指标：\n\n* **机密总数**：组织中发现的机密泄漏总数\n* **公共泄漏**： **在公共** 存储库中找到的不同机密\n* **可预防的泄漏**：保护措施本可以阻止的泄漏\n\n还可以通过从机密总数中减去公开泄露的数量来确定 **专用存储库** 中找到的机密数。 虽然修正这些机密并不重要，但如果有人获得对存储库的未经授权的访问，或者存储库被公开，它们仍然会带来风险。\n\n## 步骤 2：了解机密类别\n\n查看 **“机密类别** ”部分，了解泄露 **的机密类型** 。\n\n* **供应商模式**：已知服务的特定机密格式（AWS、Azure、 GitHub 令牌）\n* **泛型模式**：通用机密格式，如私钥、API 密钥、密码\n\n提供者模式通常更容易识别和撤销，因为可以确切地知道它们所属的服务。 泛型模式可能需要进行更多调查。\n\n## 步骤 3：确定受影响的存储库数\n\n使用泄漏指标检查 **存储库** ，其中显示了有多少存储库包含机密泄漏。\n\n如果 **存储库的高百分比** 包含泄漏，这可能表示：\n\n* 关于机密管理的广泛文化问题\n* 需要组织范围的培训\n* 缺少诸如推送保护之类的防护措施，在机密提交之前阻止其泄露。\n\n如果只有 **几个** 存储库包含泄漏，则可以：\n\n* 专注于特定团队的整改工作\n* 使用泄漏信息确定哪些存储库是高风险区域\n\n## 步骤 4：按类型查看泄露的机密\n\n滚动到底部以查看详细的 **机密类型** 表，其中包括：\n\n* **机密类型**：特定类型的机密\n* **不同存储库**：有多少个不同的存储库包含此类型\n* **找到的机密**：所有存储库中此机密类型的总数\n\n该表自动按最高计数进行排序，帮助你确定最大的风险。\n\n如果看到 **许多相同类型的机密** （例如多个 AWS 密钥），则表示：\n\n* 开发人员可能不使用环境变量\n* 缺少有关机密管理的文档\n\n## 步骤 5：确定修正和相关作的优先级\n\n了解指标后，请根据风险确定修正优先级。\n\n最高优先级机密是 **公共存储库中泄露的提供程序模式**，因为它们是：\n\n* 可供 Internet 上的任何人访问\n* 识别和撤销通常更容易，因为你知道它们属于哪些服务\n\n接下来，可以解决风险较低或需要更广泛努力补救的机密。 这些可以是：\n\n* **公共存储库中的泛型模式**，可能需要调查才能识别它们所属的服务或系统\n* **专用存储库泄漏**，表示风险较低，但仍应解决\n\n最后，查找以下指标，这可能要求在泄漏修正之外进行额外的预防工作：\n\n* **存在泄漏的许多存储库**：表明需要组织范围的培训和提高安全意识\n* **重复的机密类型**：建议特定工作流或团队需要有针对性的干预\n* **常见机密类别**：可能指向需要安全改进的特定 CI/CD 进程\n\n## 后续步骤\n\n了解机密暴露情况后，选择用于 GitHub Secret Protection 试点的存储库。 请参阅“[选择试点存储库的最佳做法](/zh/code-security/concepts/security-at-scale/best-practices-for-selecting-pilot-repositories)”。"}