Den öffentlichen GitHub-Footprint deiner Organisation auditieren

Jedes öffentliche Repository inventarisieren

Beginne mit einer vollständigen Liste. Erfasse für jede Organisation und jeden Mitglieds-Account, der arbeitsbezogenen Code pusht, alle öffentlichen Repositories. Die GitHub-API (/orgs/{org}/repos und /users/{user}/repos) liefert sie; ein Tool wie RepoGuard gibt dir dasselbe Inventar in einer Ansicht - inklusive Repository-Anzahl, Top-Sprachen und meistgesternten Projekten.

Das Risiko bewerten

Geh die Liste durch und frage dich bei jedem Repo, ob es öffentlich sein soll. Markiere alles, was intern aussieht, plus Repos, deren Namen auf sensible Inhalte hindeuten. Achte besonders auf:

• Repos, die nach internen Tools, Infrastruktur oder Umgebungen benannt sind.
• Forks privater Arbeit, die öffentlich gemacht wurden.
• Archivierte oder verwaiste Repos, die niemand mehr beobachtet.
• Private Accounts von Teammitgliedern, die arbeitsbezogenen Code hosten.

Beheben und dokumentieren

Entscheide für jeden Fund: privat machen, bewusst öffentlich lassen oder exponierte Secrets rotieren. Dokumentiere die Entscheidung, damit das nächste Audit schneller geht und ein öffentliches Repo eine Wahl wird, kein Versehen.

Mach aus dem Audit eine Policy

Ein einmaliges Audit verblasst am Tag danach. Halte fest, was du gelernt hast, als schlanke Policy: neue Repositories standardmäßig privat, eine Namensgebung, die nie auf Secrets hindeutet, ein regelmäßiges Re-Audit, und das Ganze abgesichert durch kontinuierliches Monitoring, damit Abweichungen automatisch auffallen statt erst beim nächsten manuellen Review.

Mach es kontinuierlich

Ein Audit ist nur an dem Tag aktuell, an dem du es durchführst. Organisationen ändern sich ständig - neue Repos, neue Mitglieder, Sichtbarkeits-Wechsel. Richte kontinuierliches Monitoring ein, das jeden relevanten Account beobachtet und dich sofort warnt, wenn ein neues öffentliches Repository auftaucht, damit dein Audit nie veraltet.