Säkerhetskontroll

GitHub branch protection: hindra att osäker kod når produktion

En oskyddad main-branch betyder att vem som helst med write-access kan pusha direkt till produktion — utan granskning, utan CI. Vi kontrollerar branch protection per repo i hela din org.

Kör gratis domänscan Alla kontroller →
Berör: NIS2 · art. 21 — säker utveckling ISO 27001 · A.8.28 säker kodning SOC 2 · CC8.1 change management OWASP · CI/CD-SEC

Vad kontrolleras?

Vi läser branch protection-reglerna på dina default-branches: kräver du pull request-granskning, gröna status checks, signerade commits, linjär historik — och kan admins kringgå allt med en direkt-push?

Varför spelar det roll?

Change management är en kärnkontroll i SOC 2, ISO 27001 och NIS2. En oskyddad branch är också den enklaste vägen för en komprometterad utvecklarnyckel att få in bakdörrar i produktion utan att någon ser det.

Hur Security Guru testar det

Vanliga fel

  • Branch protection på 'main' men koden mergas till 'master' eller 'develop'
  • Admins får kringgå reglerna (enforce_admins av)
  • Required reviews satt till 0 — regeln finns men kräver ingen granskare
  • Nya repos ärver inga skydd (ingen org-default)

Vad du får i rapporten

  • Skyddsstatus per repo — grönt/rött med exakt vad som saknas
  • Repos utan någon skyddad branch alls
  • Rekommenderad org-baseline och hur du sätter den
  • Mappning mot SOC 2 CC8.1 / ISO A.8.28 / NIS2

Vanliga frågor

Klonar ni vår kod?

För branch protection-kontrollen: nej — vi läser bara repo-inställningar via GitHub-API. Djupare repo-scanning (secrets/dependencies) är ett separat, valfritt steg.

Vilken behörighet behövs?

En läs-token med repo- och org-läsning. Vi skriver aldrig något till era repos.

Täcker ni GitHub Enterprise?

Ja, både github.com-orgar och GitHub Enterprise Cloud.

Vill du veta din status?

Kör en gratis scan eller beställ en full Security Assessment — prioriterat, inte brus.

Kör gratis domänscan