Veit Schiele Communications

Veit Schiele Communications

Sicherheit

Die Eigentümer von Organisationen haben mehrere Möglichkeiten, die Sicherheit ihrer Projekte und Daten zu überprüfen.
erstellt von Veit Schielezuletzt verändert: 31.12.2014 11:59 © Veit Schiele, 2014

Überprüfen des Audit-Log

Die Überprüfung des Audit-Log sollte sicherzustellen, dass keine unbefugte oder böswillige Aktivität aufgetreten ist. Neben den bestehenden Filtern lassen sich auch neue Filter anlegen: Search the audit log.

Finden inaktiver Mitglieder

Sie können sich eine Liste aller Mitglieder ihrer Organisation anzeigen lassen, die z.B. seit mehr als 30 Tagen inaktiv waren:

  1. Klicken Sie in der oberen rechten Ecke der Seite auf Ihren Nutzernamen
  2. Klicken Sie links auf Ihrer Profilseite unter der Überschrift Organizations auf Ihre Organisation
  3. Klicken Sie rechts auf der Seite Ihrer Organisation auf People
  4. Tippen Sie is:inactive in das Suchfeld

Anwendungen überprüfen

Überprüfen Sie die Anwendungen, die von Ihrer Organisation verwaltet werden, um sicherzustellen, dass durch diese keine erweiterten Berechtigungen zugelassen und keine Callback-URLs geändert wurden:

  1. Klicken Sie in der oberen rechten Ecke der Seite auf Ihren Nutzernamen
  2. Klicken Sie links auf Ihrer Profilseite unter der Überschrift Organizations auf Ihre Organisation
  3. Klicken Sie rechts auf der Seite Ihrer Organisation auf Settings
  4. Klicken Sie in der linken Spalte auf Applications.
  5. Klicken Sie auf jede der Anwendungen um deren Einstellung zu überprüfen
  6. Stellen Sie sicher, dass alle Callback-URLs und Beschreibungen korrekt sind. Wenn Sie bösartige Aktivitäten vermuten, widerrufen Sie alle Benutzertoken, sodass diese Benutzer automatisch abgemeldet werden

Löschen privater Forks

Wenn z.B. Mitarbeiter das Unternehmen verlassen, sollten auch die privaten Forks dieses Mitarbeiters gelöscht werden: Deleting a private fork of a private organization repository. Und beachten Sie auch die Hinweise beim Löschen oder Ändern der Sichtbarkeit eines Repositories: What happens to forks when a repository is deleted or changes visibility?.

Löschen sensitiver Daten

Haben Sie z.B. aus Versehen begangen ein Passwort oder einen API- Schlüssel auf Github hochgeladen, gibt Ihnen Girhub Tipps, wie Sie diese sensiblen Informationen löschen können: Remove sensitive data. Jordan Wright macht in seinem Artikel Why Deleting Sensitive Information From Github Doesn't Save You eindrucksvoll deutlich, dass dies nicht wirklich das Problem löst, sondern zumindest auch noch dass Passwort, der API- Schlüssel o.ä. geändert werden müssen.