Команда безопасности GitHub успешно справилась с бэклогом из 20 000 уведомлений об утечках секретов в 15 000 репозиториях, достигнув показателя «нулевого входящего» за девять месяцев. Для решения проблемы компания внедрила систему автоматизированной фильтрации ложных срабатываний, которая позволила отделить критические угрозы от шума и выстроить эффективные рабочие процессы для разработчиков.

Основная сложность заключалась в огромном количестве уведомлений, которые перегружали инженеров и приводили к «усталости от алертов». GitHub пересмотрел подход к классификации инцидентов, используя алгоритмы для приоритизации наиболее опасных утечек. Это позволило сфокусировать усилия на реальных угрозах, таких как скомпрометированные ключи API и учетные данные, имеющие доступ к критической инфраструктуре.

Внедрение автоматизации включало создание специализированных пайплайнов для remediation-процессов. Вместо ручной обработки каждого случая, система автоматически направляла уведомления нужным владельцам репозиториев с четкими инструкциями по исправлению. Такой подход позволил не только очистить очередь, но и создать масштабируемую модель безопасности, которую теперь используют для предотвращения появления новых секретов в коде.

Ключевые факты

  • Общий объем обработанных уведомлений превысил 20 000 единиц.
  • Процесс очистки бэклога занял девять месяцев интенсивной работы.
  • Масштаб охвата составил 15 000 отдельных репозиториев.
  • Основным инструментом стала система фильтрации, отделяющая «сигнал» от «шума» для снижения нагрузки на инженеров.
  • Внедренные рабочие процессы позволили автоматизировать коммуникацию с владельцами кода для оперативного закрытия уязвимостей.