Modül 2 · Secret Scanning · ⏱ 10 dakika

Historical scanning ve alert yönetimi

Historical scanning and alert management

Bu derste neler öğreneceksin

  • Historical scanning'in nasıl tetiklendiğini ve neleri taradığını anlamak
  • Secret scanning alert'larını filtreleme ve önceliklendirme yöntemlerini öğrenmek
  • Alert'ları toplu kapama ve yönetim API'sini kavramak
  • Secret scanning metriklerini security overview'da izlemeyi bilmek

Historical scanning nedir?

Bir repoda secret scanning ilk kez etkinleştirildiğinde, GitHub mevcut tüm commit geçmişini tarar. Bu işleme historical scanning denir.

Secret scanning etkinleştirildi

Tüm branch'ler + commit geçmişi taranır

Bulunan secret'lar alert olarak listelenir

Güvenlik ekibi büyük bir backlog ile karşılaşabilir

Bu durum ilk etkinleştirmede “alert tsunami” olarak bilinir. Organizasyonların historical scanning öncesinde bir triage planı hazırlaması önerilir.

Alert yönetimi arayüzü

Secret scanning alert’larını görmek için:

Repo → Security → Secret scanning

veya organizasyon genelinde:

Org → Security → Secret scanning

Filtreleme seçenekleri:

  • Provider (AWS, Azure, GitHub vb.)
  • Durum (open, resolved)
  • Validity (active, inactive, unknown)
  • Repository
  • Tarih aralığı

Toplu alert yönetimi

Çok sayıda alert’ı yönetmek için bulk dismiss özelliği:

Security → Secret scanning → Alert listesi
  → Checkbox ile seç → Dismiss selected
  → Sebep gir → Onayla

REST API ile programatik yönetim:

# Bir alert'ı kapat
PATCH /repos/{owner}/{repo}/secret-scanning/alerts/{alert_number}
Content-Type: application/json
{
  "state": "resolved",
  "resolution": "false_positive"
}

Alert metrikleri ve raporlama

Security overview sayfası zaman içindeki eğilimi gösterir:

  • Toplam açık alert sayısı
  • Haftalık/aylık trend (artıyor mu, azalıyor mu?)
  • Provider bazlı breakdown
  • Çözüm hızı (mean time to resolution — MTTR)

Bu metrikler güvenlik ekibinin performansını ölçmek ve yönetime raporlamak için kullanılır.

Sınavda historical scanning soruları

Tipik senaryo: “Organizasyon, 500 repolu bir sistemde GHAS etkinleştirdi ve ilk gün 2000 secret scanning alert’ı geldi. Ne yapmalısınız?”

İyi cevap unsurları:

  1. Alert’ları validity check ile önceliklendir (active olanlar önce)
  2. Provider bazlı filtrele (kritik servisler önce: AWS, Azure)
  3. False positive’leri toplu dismiss et
  4. Gerçek secret’ları revoke et ve rotasyona al

Kötü cevap: “Tüm alert’ları tek tek incele” (ölçeklenebilir değil).

Sırada ne var?

Modül 3’te supply chain security — Dependabot alerts, security updates ve dependency review — konularına geçiyoruz.