Security Managers ve Security Alerts
Security Managers & Security Alerts
Bu derste neler öğreneceksin
- Security manager rolünün yetkilerini ve sınırlamalarını açıklamak
- Organization düzeyinde security overview'ı kullanmayı anlamak
- Security alert tipleri ve yönetim iş akışını bilmek
GitHub Enterprise’da güvenlik yönetimi için özel bir rol olan Security Manager, güvenlik profesyonellerine kod erişimi vermeden security alert’leri yönetme yetkisi tanır.
Security Manager Rolü
Security manager, org düzeyinde atanabilir özel bir roldür:
Yapabilecekleri:
- Tüm org repo’larındaki güvenlik alert’lerini (Dependabot, code scanning, secret scanning) görüntüleyebilir
- Alert’leri kapatabilir ve yönetebilir
- Security policy dosyalarına erişebilir
- Organization security overview’ı kullanabilir
Yapamayacakları:
- Repository içeriğini değiştiremez (Read izni vardır, Write yok)
- Org ayarlarını değiştiremez
- Kullanıcı ekleyip çıkaramaz
Security manager = güvenlik alertlerine admin erişimi + tüm repo’lara read erişimi. Başka bir şey değil.
Organization Security Overview
Organization → Security → Overview
Security overview, organizasyondaki tüm repositorylerin güvenlik durumunu tek ekranda gösterir:
- Kaç repoda kritik Dependabot alert var?
- Secret scanning kaç repoda etkin?
- Code scanning coverage yüzdesi nedir?
Security Alert Tipleri
| Alert Tipi | Tetiklenir | Otomatik Düzeltme |
|---|---|---|
| Dependabot alert | Güvenlik açığı olan bağımlılık tespit | Dependabot PR ile |
| Code scanning alert | Static analiz bulgusu | Hayır (manuel fix gerekir) |
| Secret scanning alert | Commit’te secret tespit | Hayır (revoke + rotate gerekir) |
Alert Triaj Süreci
- Alert geldiğinde önce dismiss etme — önce bağlamı anla
- Gerçek pozitif mi, yanlış pozitif mi değerlendir
- Gerçek pozitifse: kapatmadan önce düzelt
- Yanlış pozitifse: “False positive” gerekçesiyle kapat (audit log’a yazılır)
- Periyodik alert review toplantıları planla (önerilen: 2 haftada bir)