Säkerhetskontroll

GitHub repo-behörigheter: vet exakt vem som kan pusha till er kod

Med tiden samlas admin- och write-access på fel personer, gamla anställda och externa collaborators. Vi kartlägger behörigheterna per repo och visar var minsta-privilegie-principen brister.

Kör gratis domänscan Alla kontroller →
Berör: ISO 27001 · A.5.15 / A.5.18 åtkomstkontroll SOC 2 · CC6.1–CC6.3 logisk åtkomst NIS2 · art. 21 — åtkomstkontroll CIS · Controls v8 — 6

Vad kontrolleras?

Vi läser åtkomstmodellen i er GitHub-org: vilka team och personer som har admin, maintain, write, triage eller read per repo, vilka externa collaborators som är inbjudna, och om behörigheter är satta direkt på användare i stället för via team.

Varför spelar det roll?

Överdriven access är den tysta risken: en komprometterad nyckel med admin på fel repo räcker för att få in bakdörrar eller läcka kod. Minsta privilegium är en kärnkontroll i ISO 27001, SOC 2 och NIS2 — och den mest missade i praktiken.

Hur Security Guru testar det

Vanliga fel

  • Behörigheter satta direkt på användare i stället för via team — omöjligt att överblicka
  • Externa collaborators kvar långt efter avslutat uppdrag
  • Alla utvecklare har admin 'för smidighets skull'
  • Ingen periodisk översyn (access review) av vem som har vad

Vad du får i rapporten

  • Behörighetskarta per repo — vem har admin/write, grönt/rött
  • Externa collaborators och överdrivna admin-rättigheter
  • Rekommenderad team-baserad baseline och rensningslista
  • Mappning mot SOC 2 CC6 / ISO A.5.15 / NIS2

Vanliga frågor

Ändrar ni något i vår org?

Nej — vi läser bara behörigheter via GitHub-API. Rensningen gör ni själva utifrån vår prioriterade lista.

Vilken token behövs?

En läs-token med org- och repo-administrationsläsning. Vi skriver aldrig.

Täcker ni team-hierarkier?

Ja — vi räknar ut den effektiva behörigheten även när den ärvs via nästlade team.

Vill du veta din status?

Kör en gratis scan eller beställ en full Security Assessment — prioriterat, inte brus.

Kör gratis domänscan