Historical scanning ve alert yönetimi
Historical scanning and alert management
Bu derste neler öğreneceksin
- Historical scanning'in nasıl tetiklendiğini ve neleri taradığını anlamak
- Secret scanning alert'larını filtreleme ve önceliklendirme yöntemlerini öğrenmek
- Alert'ları toplu kapama ve yönetim API'sini kavramak
- Secret scanning metriklerini security overview'da izlemeyi bilmek
Historical scanning nedir?
Bir repoda secret scanning ilk kez etkinleştirildiğinde, GitHub mevcut tüm commit geçmişini tarar. Bu işleme historical scanning denir.
Secret scanning etkinleştirildi
↓
Tüm branch'ler + commit geçmişi taranır
↓
Bulunan secret'lar alert olarak listelenir
↓
Güvenlik ekibi büyük bir backlog ile karşılaşabilir
Bu durum ilk etkinleştirmede “alert tsunami” olarak bilinir. Organizasyonların historical scanning öncesinde bir triage planı hazırlaması önerilir.
Alert yönetimi arayüzü
Secret scanning alert’larını görmek için:
Repo → Security → Secret scanning
veya organizasyon genelinde:
Org → Security → Secret scanning
Filtreleme seçenekleri:
- Provider (AWS, Azure, GitHub vb.)
- Durum (open, resolved)
- Validity (active, inactive, unknown)
- Repository
- Tarih aralığı
Toplu alert yönetimi
Çok sayıda alert’ı yönetmek için bulk dismiss özelliği:
Security → Secret scanning → Alert listesi
→ Checkbox ile seç → Dismiss selected
→ Sebep gir → Onayla
REST API ile programatik yönetim:
# Bir alert'ı kapat
PATCH /repos/{owner}/{repo}/secret-scanning/alerts/{alert_number}
Content-Type: application/json
{
"state": "resolved",
"resolution": "false_positive"
}
Alert metrikleri ve raporlama
Security overview sayfası zaman içindeki eğilimi gösterir:
- Toplam açık alert sayısı
- Haftalık/aylık trend (artıyor mu, azalıyor mu?)
- Provider bazlı breakdown
- Çözüm hızı (mean time to resolution — MTTR)
Bu metrikler güvenlik ekibinin performansını ölçmek ve yönetime raporlamak için kullanılır.
Sınavda historical scanning soruları
Tipik senaryo: “Organizasyon, 500 repolu bir sistemde GHAS etkinleştirdi ve ilk gün 2000 secret scanning alert’ı geldi. Ne yapmalısınız?”
İyi cevap unsurları:
- Alert’ları validity check ile önceliklendir (active olanlar önce)
- Provider bazlı filtrele (kritik servisler önce: AWS, Azure)
- False positive’leri toplu dismiss et
- Gerçek secret’ları revoke et ve rotasyona al
Kötü cevap: “Tüm alert’ları tek tek incele” (ölçeklenebilir değil).
Sırada ne var?
Modül 3’te supply chain security — Dependabot alerts, security updates ve dependency review — konularına geçiyoruz.