BIO 5.1 ISO A.9.1.1

GitHub Copilot Beveiligingsconfiguratie En Governance

📅 2025-01-20
⏱️ 25 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

GitHub Copilot is een AI-aangedreven code-assistent die ontwikkelaars helpt bij het schrijven van code door automatische code-suggesties te genereren op basis van context. Voor Nederlandse overheidsorganisaties die GitHub Copilot gebruiken, is het essentieel om een robuuste beveiligingsconfiguratie te implementeren die bescherming biedt tegen datalekken, intellectueel eigendom risico's, en compliance-schendingen. Deze gids beschrijft een complete aanpak voor het beveiligen van GitHub Copilot gebruik, inclusief toegangscontrole, data governance, code review processen en compliance-vereisten.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
90u (tech: 50u)
Van toepassing op:
GitHub
GitHub Enterprise
Development
Code Generation

Zonder adequate beveiligingsconfiguratie voor GitHub Copilot lopen organisaties het risico dat gevoelige code, bedrijfsgeheimen, persoonsgegevens of andere vertrouwelijke informatie onbedoeld wordt gedeeld met de AI-service. GitHub Copilot stuurt code-context naar externe AI-modellen voor verwerking, wat betekent dat organisaties moeten controleren welke code wordt gedeeld, wie toegang heeft tot Copilot, en hoe gegenereerde code wordt gereviewd voordat deze in productie wordt genomen. Voor Nederlandse overheidsorganisaties is dit kritiek omdat zij werken met gevoelige gegevens, moeten voldoen aan AVG-vereisten voor gegevensbescherming, en moeten beschermen tegen intellectueel eigendom risico's. Bovendien vereisen frameworks zoals BIO en NIS2 dat organisaties passende maatregelen treffen voor het beveiligen van ontwikkelingsprocessen en het voorkomen van datalekken.

PowerShell Modules Vereist
Primary API: GitHub API, GitHub Enterprise Management API
Connection: gh auth login, Connect-GitHubEnterprise
Required Modules: GitHub, PowerShellForGitHub

Implementatie

Dit artikel beschrijft een complete beveiligingsconfiguratie voor GitHub Copilot die voldoet aan de eisen van de Nederlandse Baseline voor Veilige Cloud, BIO, AVG en NIS2. De gids behandelt toegangsbeheer en licentiebeheer, configuratie van privacy-instellingen en data sharing controls, implementatie van code review processen voor AI-gegenereerde code, monitoring en logging van Copilot-activiteiten, en compliance-verificatie. Daarnaast worden best practices beschreven voor het beheren van intellectueel eigendom risico's, het voorkomen van datalekken, en het waarborgen dat gegenereerde code voldoet aan beveiligingsstandaarden voordat deze wordt geïntegreerd in productiesystemen.

Vereisten en Juridische Context

GitHub Copilot beveiligingsconfiguratie vereist verschillende technische en organisatorische voorbereidingen. Op technisch niveau is een GitHub Enterprise licentie vereist voor organisaties die Copilot willen gebruiken met enterprise-grade beveiligingscontroles. GitHub Copilot for Business biedt aanvullende beveiligingsfuncties zoals privacy-instellingen, audit logging en centrale beheerfunctionaliteit die essentieel zijn voor overheidsorganisaties. Daarnaast is toegang tot GitHub Enterprise Management API vereist voor het configureren van beveiligingsinstellingen en het monitoren van Copilot-activiteiten. Organisaties moeten ervoor zorgen dat zij beschikken over de juiste GitHub-beheerdersrollen, zoals Organization Owner of Security Manager, voor het configureren van Copilot-beveiligingsinstellingen.

Op juridisch niveau moeten organisaties rekening houden met verschillende compliance-vereisten die relevant zijn voor GitHub Copilot gebruik. De Algemene Verordening Gegevensbescherming (AVG) vereist dat organisaties passende maatregelen treffen wanneer persoonsgegevens worden verwerkt, wat relevant is wanneer code die persoonsgegevens bevat wordt gedeeld met GitHub Copilot voor code-suggesties. Artikel 32 AVG vereist passende technische en organisatorische maatregelen, wat betekent dat organisaties privacy-instellingen moeten configureren die voorkomen dat gevoelige gegevens worden gedeeld met externe AI-services. Artikel 25 AVG vereist privacy by design, wat betekent dat beveiligingsconfiguraties moeten worden geïmplementeerd vanaf het moment dat Copilot wordt geïntroduceerd, niet achteraf.

De Baseline Informatiebeveiliging Overheid (BIO) stelt aanvullende eisen voor informatiebeveiliging die relevant zijn voor GitHub Copilot. BIO-norm 5.1 vereist toegangscontrole, wat betekent dat alleen geautoriseerde ontwikkelaars toegang moeten hebben tot Copilot en dat toegang moet worden gecontroleerd en gemonitord. BIO-norm 8.1 vereist encryptie van gevoelige gegevens, wat betekent dat code die gevoelige informatie bevat moet worden beschermd wanneer deze wordt gedeeld met externe services. BIO-norm 12.1 vereist logging en monitoring, wat betekent dat alle Copilot-activiteiten moeten worden gelogd voor security-doeleinden. Voor GitHub Copilot implementatie betekent dit dat organisaties moeten kunnen aantonen dat beveiligingsconfiguraties correct zijn geïmplementeerd, dat toegangscontroles actief zijn, en dat logging en monitoring continu plaatsvinden.

Naast deze primaire compliance-frameworks moeten organisaties rekening houden met intellectueel eigendom risico's. Wanneer ontwikkelaars GitHub Copilot gebruiken, worden code-suggesties gegenereerd op basis van trainingsdata die mogelijk code bevat van open source projecten of andere bronnen. Dit kan leiden tot risico's op copyright-schendingen of licentieconflicten wanneer gegenereerde code wordt gebruikt zonder adequate attributie of licentiecontrole. Organisaties moeten daarom processen implementeren voor het reviewen van AI-gegenereerde code op intellectueel eigendom risico's, het controleren van licentiecompatibiliteit, en het waarborgen dat gegenereerde code voldoet aan organisatiebeleid voor open source gebruik.

Implementatie van Beveiligingsconfiguratie

De implementatie van GitHub Copilot beveiligingsconfiguratie begint met het configureren van toegangsbeheer en licentiebeheer. Organisaties moeten beginnen met het definiëren van een duidelijk beleid voor wie toegang mag hebben tot GitHub Copilot, gebaseerd op rollen, verantwoordelijkheden en beveiligingsvereisten. Dit beleid moet worden geïmplementeerd via GitHub Enterprise licentiebeheer, waarbij alleen geautoriseerde ontwikkelaars toegang krijgen tot Copilot. Daarnaast moeten organisaties Conditional Access policies configureren die aanvullende beveiligingscontroles vereisen, zoals multi-factor authenticatie, voor toegang tot GitHub en Copilot-functionaliteit. Dit kan worden geconfigureerd via GitHub Enterprise met integratie met Microsoft Entra ID of andere identity providers.

Een tweede kritieke stap is het configureren van privacy-instellingen en data sharing controls. GitHub Copilot for Business biedt privacy-instellingen die organisaties kunnen configureren om te controleren welke code-context wordt gedeeld met de AI-service. Organisaties moeten deze instellingen configureren om te voorkomen dat gevoelige code, bedrijfsgeheimen of persoonsgegevens worden gedeeld met externe AI-modellen. Dit omvat het configureren van code exclusion patterns die automatisch voorkomen dat specifieke bestanden, directories of code-patronen worden gedeeld met Copilot, bijvoorbeeld bestanden die persoonsgegevens bevatten, configuratiebestanden met credentials, of code die bedrijfsgeheimen bevat. Deze instellingen kunnen worden geconfigureerd via GitHub Enterprise settings, waarbij organisaties gebruik kunnen maken van bestaande code scanning rules of nieuwe exclusion patterns kunnen definiëren.

Een derde belangrijke component is het implementeren van code review processen die specifiek zijn gericht op AI-gegenereerde code. Organisaties moeten ervoor zorgen dat alle code die is gegenereerd met behulp van GitHub Copilot wordt gereviewed door ten minste één andere ontwikkelaar voordat deze wordt gemerged in de hoofdcodebase. Deze reviews moeten niet alleen focussen op functionaliteit en codekwaliteit, maar ook op beveiligingsrisico's, intellectueel eigendom risico's, en compliance met organisatiebeleid. Daarnaast moeten organisaties geautomatiseerde code scanning tools configureren die AI-gegenereerde code analyseren op beveiligingskwetsbaarheden, licentieconflicten, en andere risico's. GitHub Advanced Security biedt functionaliteit zoals CodeQL en Secret Scanning die kunnen worden geconfigureerd om automatisch AI-gegenereerde code te analyseren wanneer deze wordt gecommit of gepull requested.

Tot slot moet implementatie worden ondersteund door het configureren van monitoring en logging voor Copilot-activiteiten. GitHub Enterprise biedt audit logging functionaliteit die alle Copilot-activiteiten vastlegt, inclusief wanneer ontwikkelaars Copilot gebruiken, welke code-suggesties worden geaccepteerd, en welke bestanden worden geopend tijdens Copilot-sessies. Organisaties moeten deze audit logs configureren om te voldoen aan BIO-vereisten voor logging en monitoring, en moeten processen implementeren voor het regelmatig reviewen van deze logs op verdachte activiteiten of beveiligingsincidenten. Daarnaast moeten organisaties dashboards en rapportages configureren die inzicht geven in Copilot-gebruik, compliance-status, en beveiligingsrisico's, zodat management en security teams kunnen monitoren of beveiligingsconfiguraties effectief zijn en of aanvullende maatregelen nodig zijn.

Compliance en Framework Mapping

GitHub Copilot beveiligingsconfiguratie moet aantoonbaar voldoen aan verschillende compliance-frameworks die van toepassing zijn op Nederlandse overheidsorganisaties. De Baseline Informatiebeveiliging Overheid (BIO) vormt de primaire basis voor informatiebeveiligingseisen, met specifieke vereisten die relevant zijn voor GitHub Copilot. BIO-norm 5.1 vereist toegangscontrole, wat betekent dat alleen geautoriseerde ontwikkelaars toegang moeten hebben tot Copilot en dat toegang moet worden gecontroleerd en gemonitord via audit logs. BIO-norm 8.1 vereist encryptie van gevoelige gegevens, wat betekent dat code die gevoelige informatie bevat moet worden beschermd wanneer deze wordt gedeeld met externe services, bijvoorbeeld door privacy-instellingen te configureren die voorkomen dat gevoelige code wordt gedeeld. BIO-norm 12.1 vereist logging en monitoring, wat betekent dat alle Copilot-activiteiten moeten worden gelogd en gemonitord voor security-doeleinden. Voor GitHub Copilot implementatie betekent dit dat organisaties moeten kunnen aantonen dat beveiligingsconfiguraties correct zijn geïmplementeerd, dat toegangscontroles actief zijn, en dat logging en monitoring continu plaatsvinden.

De Algemene Verordening Gegevensbescherming (AVG) stelt aanvullende eisen voor privacybescherming die relevant zijn voor GitHub Copilot. Artikel 25 AVG vereist privacy by design en privacy by default, wat betekent dat privacy-aspecten moeten worden meegenomen in het ontwerp van Copilot-beveiligingsconfiguraties, bijvoorbeeld door privacy-instellingen te configureren die standaard voorkomen dat persoonsgegevens worden gedeeld met externe AI-services. Artikel 32 AVG vereist dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beveiligen, wat betekent dat Copilot-beveiligingsconfiguraties moeten worden geconfigureerd met de hoogste standaard voor data protection, inclusief code exclusion patterns, privacy-instellingen en audit logging. Artikel 33 en 34 AVG vereisen dat organisaties datalekken rapporteren aan toezichthouders en betrokkenen, wat betekent dat organisaties processen moeten hebben voor het detecteren, rapporteren en mitigeren van datalekken die betrekking hebben op Copilot-activiteiten, bijvoorbeeld wanneer gevoelige code onbedoeld wordt gedeeld met externe AI-services.

De Network and Information Systems Directive 2 (NIS2) stelt aanvullende eisen voor cybersecurity die relevant zijn voor GitHub Copilot, met name voor organisaties die worden aangemerkt als essentiële of belangrijke entiteiten. NIS2 vereist dat organisaties passende maatregelen implementeren voor het beveiligen van netwerk- en informatiesystemen, het detecteren van security-incidenten, en het snel reageren op security-incidenten. Voor GitHub Copilot betekent dit dat organisaties moeten kunnen aantonen dat zij geavanceerde beveiligingsmaatregelen hebben geïmplementeerd voor het voorkomen van beveiligingsincidenten die verband houden met Copilot-gebruik, dat monitoring en detectie continu plaatsvinden, en dat zij snel kunnen reageren op gedetecteerde bedreigingen. NIS2 vereist ook dat organisaties security-incidenten rapporteren aan relevante toezichthouders, wat betekent dat organisaties processen moeten hebben voor het documenteren en rapporteren van security-incidenten die betrekking hebben op Copilot-activiteiten, bijvoorbeeld wanneer beveiligingsconfiguraties falen of wanneer datalekken worden gedetecteerd.

Naast deze primaire compliance-frameworks moeten organisaties rekening houden met intellectueel eigendom en licentiecompliance. Wanneer ontwikkelaars GitHub Copilot gebruiken, worden code-suggesties gegenereerd op basis van trainingsdata die mogelijk code bevat van open source projecten of andere bronnen. Dit kan leiden tot risico's op copyright-schendingen of licentieconflicten wanneer gegenereerde code wordt gebruikt zonder adequate attributie of licentiecontrole. Organisaties moeten daarom processen implementeren voor het reviewen van AI-gegenereerde code op intellectueel eigendom risico's, het controleren van licentiecompatibiliteit, en het waarborgen dat gegenereerde code voldoet aan organisatiebeleid voor open source gebruik. Dit kan worden ondersteund door geautomatiseerde tools zoals FOSSA, Snyk of GitHub Dependabot die automatisch licentieconflicten detecteren en rapporteren.

Monitoring en Verificatie

Gebruik PowerShell-script index.ps1 (functie Invoke-Monitoring) – Monitort en verifieert de GitHub Copilot beveiligingsconfiguratie, inclusief toegangscontroles, privacy-instellingen, code review processen en compliance-status.

Effectieve monitoring en verificatie van GitHub Copilot beveiligingsconfiguratie is essentieel om te waarborgen dat beveiligingsmaatregelen correct blijven functioneren en dat compliance-vereisten continu worden nageleefd. Monitoring begint met het regelmatig controleren van de status van alle Copilot-beveiligingsconfiguraties, inclusief licentiebeheer, privacy-instellingen, code exclusion patterns, en audit logging, om te verifiëren dat deze correct zijn geconfigureerd en actief zijn. Dit kan worden gedaan via GitHub Enterprise Management Portal, waar beheerders een overzicht kunnen krijgen van alle geconfigureerde Copilot-beveiligingsinstellingen en hun status. Daarnaast kunnen PowerShell-scripts worden gebruikt om programmatisch de status van Copilot-beveiligingsconfiguraties te controleren en waarschuwingen te genereren wanneer configuraties onverwacht worden gewijzigd of uitgeschakeld. Het in dit artikel genoemde PowerShell-script kan worden gebruikt om regelmatig de status van Copilot-beveiligingsconfiguraties te controleren en rapporten te genereren over de naleving van beveiligingsvereisten.

Naast het monitoren van de status van Copilot-beveiligingsconfiguraties is het essentieel om de effectiviteit van beveiligingsmaatregelen te monitoren door te analyseren of toegangscontroles correct functioneren, of privacy-instellingen effectief voorkomen dat gevoelige code wordt gedeeld, en of code review processen correct worden uitgevoerd. Organisaties moeten processen implementeren voor het regelmatig reviewen van Copilot-activiteiten en audit logs, waarbij wordt gelet op patronen die kunnen wijzen op beveiligingsproblemen, zoals ongeautoriseerde toegang tot Copilot, pogingen om gevoelige code te delen ondanks privacy-instellingen, of code die wordt geaccepteerd zonder adequate review. GitHub Enterprise biedt functionaliteit voor het analyseren van audit logs en het genereren van rapporten over beveiligingsincidenten. Organisaties moeten deze tools regelmatig gebruiken om inzicht te krijgen in de effectiviteit van Copilot-beveiligingsconfiguraties en om gebieden te identificeren waar verbeteringen nodig zijn.

Een derde belangrijke component van monitoring is het meten van de naleving van compliance-vereisten door te analyseren of Copilot-beveiligingsconfiguraties voldoen aan BIO-, AVG- en NIS2-vereisten, of audit logs worden bewaard voor de vereiste bewaartermijnen, en of incident response procedures correct worden uitgevoerd. Organisaties moeten processen implementeren voor het verzamelen en analyseren van compliance-metrics, bijvoorbeeld door maandelijkse of driemaandelijkse rapportages te genereren die inzicht geven in de naleving van compliance-vereisten en in de effectiviteit van Copilot-beveiligingsconfiguraties. Deze rapportages moeten worden besproken in relevante governance-structuren, zoals CISO-overleg of compliance-commissies, zodat beslissingen kunnen worden genomen over het aanpassen van Copilot-beveiligingsconfiguraties of het implementeren van aanvullende maatregelen. Daarnaast moeten organisaties processen hebben voor het uitvoeren van compliance-audits, waarbij externe auditors de Copilot-beveiligingsconfiguraties en -processen controleren om te verifiëren dat zij voldoen aan alle relevante compliance-vereisten.

Tot slot moet monitoring worden ondersteund door continue verbetering van Copilot-beveiligingsconfiguraties op basis van nieuwe bedreigingen, veranderende compliance-vereisten en lessen geleerd uit beveiligingsincidenten. Dit betekent dat organisaties processen moeten implementeren voor het regelmatig updaten van Copilot-beveiligingsconfiguraties wanneer nieuwe bedreigingen worden geïdentificeerd, voor het bijwerken van privacy-instellingen wanneer nieuwe compliance-vereisten van kracht worden, en voor het verbeteren van beveiligingsprocessen op basis van praktijkervaringen. Organisaties moeten ook kennis delen met andere organisaties, bijvoorbeeld via Information Sharing and Analysis Centers (ISACs) of andere samenwerkingsverbanden, om te leren van elkaars ervaringen en om gezamenlijk te werken aan het verbeteren van Copilot-beveiliging. Door monitoring te combineren met continue verbetering, kunnen organisaties ervoor zorgen dat Copilot-beveiligingsconfiguraties effectief blijven in het beschermen tegen beveiligingsrisico's en dat compliance-vereisten continu worden nageleefd, zelfs wanneer bedreigingslandschappen en compliance-vereisten evolueren.

Remediatie en Correctie

Gebruik PowerShell-script index.ps1 (functie Invoke-Remediation) – Herstelt ontbrekende of incorrect geconfigureerde GitHub Copilot beveiligingsinstellingen wanneer deze niet voldoen aan beveiligings- en compliance-vereisten.

Remediatie van GitHub Copilot beveiligingsproblemen omvat het herstellen van ontbrekende of incorrect geconfigureerde beveiligingsinstellingen, het corrigeren van compliance-schendingen, en het waarborgen dat alle relevante beveiligingsmaatregelen correct zijn geïmplementeerd. Wanneer monitoring aangeeft dat Copilot-beveiligingsconfiguraties ontbreken of incorrect zijn geconfigureerd, moeten beheerders snel actie ondernemen om deze te herstellen, omdat het ontbreken van adequate beveiligingsconfiguraties kan leiden tot beveiligingsincidenten, datalekken en niet-naleving van compliance-vereisten. Het in dit artikel genoemde PowerShell-script kan worden gebruikt om automatisch ontbrekende Copilot-beveiligingsconfiguraties te detecteren en te herstellen, bijvoorbeeld door privacy-instellingen opnieuw te configureren wanneer deze zijn gewijzigd, of door code exclusion patterns te herstellen wanneer deze zijn verwijderd.

De eerste stap in remediatie is het identificeren van de exacte oorzaak van het probleem, bijvoorbeeld door audit logs te analyseren om te zien wanneer Copilot-beveiligingsconfiguraties zijn gewijzigd, of door de huidige configuratie te vergelijken met de gewenste configuratie. Wanneer de oorzaak is geïdentificeerd, kunnen beheerders de benodigde corrigerende maatregelen nemen, zoals het opnieuw configureren van privacy-instellingen, het herstellen van code exclusion patterns, of het opnieuw inschakelen van audit logging. Het is belangrijk om na remediatie te verifiëren dat Copilot-beveiligingsconfiguraties correct functioneren, bijvoorbeeld door testscenario's uit te voeren of door monitoring opnieuw uit te voeren om te bevestigen dat het probleem is opgelost. Daarnaast moeten organisaties processen implementeren voor het voorkomen van toekomstige problemen, bijvoorbeeld door wijzigingen aan Copilot-beveiligingsconfiguraties te vereisen dat deze worden gereviewed en goedgekeurd voordat zij worden doorgevoerd, of door automatische waarschuwingen te configureren die worden gegenereerd wanneer Copilot-beveiligingsconfiguraties worden gewijzigd.

Voor beveiligingsincidenten die al hebben plaatsgevonden en die niet zijn voorkomen door Copilot-beveiligingsconfiguraties, moet remediatie ook omvatten het onderzoeken van de oorzaak van het incident en het aanpassen van beveiligingsconfiguraties om vergelijkbare incidenten in de toekomst te voorkomen. Dit kan betekenen dat Copilot-beveiligingsconfiguraties worden bijgewerkt met nieuwe privacy-instellingen, dat code exclusion patterns worden aangescherpt om gevoeliger te zijn voor verdachte code-patronen, of dat nieuwe beveiligingsmaatregelen worden toegevoegd wanneer nieuwe bedreigingspatronen worden geïdentificeerd. Organisaties moeten processen hebben voor het analyseren van beveiligingsincidenten, bijvoorbeeld door post-incident reviews uit te voeren waarin wordt geanalyseerd waarom een incident heeft plaatsgevonden en welke maatregelen kunnen worden genomen om Copilot-beveiliging te verbeteren. Door remediatie te combineren met leerprocessen en preventieve maatregelen, kunnen organisaties ervoor zorgen dat Copilot-beveiligingsconfiguraties robuust blijven en dat beveiligingseffectiviteit continu verbetert.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS GitHub Copilot Beveiligingsconfiguratie Monitoring en Remediatie .DESCRIPTION Controleert of alle essentiële beveiligingsconfiguraties correct zijn geïmplementeerd voor GitHub Copilot, inclusief toegangsbeheer, privacy-instellingen, code exclusion patterns en audit logging. Essentieel voor compliance met BIO, AVG en NIS2 en het voorkomen van datalekken en intellectueel eigendom risico's. .NOTES Filename: index.ps1 Author: Nederlandse Baseline voor Veilige Cloud Category: github-copilot-security Related JSON: content/github/copilot-security/index.json .EXAMPLE .\index.ps1 -Monitoring Controleer of alle GitHub Copilot beveiligingsconfiguraties correct zijn geïmplementeerd .EXAMPLE .\index.ps1 -Remediation Herstel ontbrekende of incorrecte GitHub Copilot beveiligingsconfiguraties #> #Requires -Version 5.1 #Requires -Modules PowerShellForGitHub [CmdletBinding()] param( [Parameter(Mandatory = $false)] [switch]$Monitoring, [Parameter(Mandatory = $false)] [switch]$Remediation, [Parameter(Mandatory = $false)] [switch]$Revert, [Parameter(Mandatory = $false)] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "GitHub Copilot Beveiligingsconfiguratie" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan # Configuratie $RequiredPrivacySettings = @( "Code exclusion patterns", "Privacy mode enabled", "Audit logging enabled", "Access control configured" ) $RequiredCodeExclusionPatterns = @( "*.env", "*secrets*", "*credentials*", "*config*.json", "*private*", "*confidential*" ) function Connect-GitHubEnterprise { <# .SYNOPSIS Verbindt met GitHub Enterprise API #> [CmdletBinding()] param() Write-Verbose "Controleren van GitHub Enterprise verbinding..." try { # Controleer of GitHub CLI is geïnstalleerd en geconfigureerd $ghVersion = gh --version 2>$null if (-not $ghVersion) { Write-Error "GitHub CLI (gh) is niet geïnstalleerd. Installeer GitHub CLI om dit script te gebruiken." throw } # Controleer of gebruiker is ingelogd $ghAuth = gh auth status 2>&1 if ($LASTEXITCODE -ne 0) { Write-Host "GitHub authenticatie vereist. Voer 'gh auth login' uit om in te loggen." -ForegroundColor Yellow throw "GitHub authenticatie vereist" } Write-Verbose "Verbonden met GitHub Enterprise" return $true } catch { Write-Error "Kon niet verbinden met GitHub Enterprise: $_" throw } } function Test-GitHubCopilotSecurity { <# .SYNOPSIS Test of GitHub Copilot beveiligingsconfiguraties correct zijn geïmplementeerd .OUTPUTS PSCustomObject met compliance resultaten #> [CmdletBinding()] param() Write-Verbose "Controleren van GitHub Copilot beveiligingsconfiguraties..." $issues = @() $compliant = $true # Controleren of GitHub Enterprise is geconfigureerd Write-Host "`nControleren GitHub Enterprise configuratie..." -ForegroundColor Gray try { $orgInfo = gh api orgs/{org} 2>&1 if ($LASTEXITCODE -ne 0) { Write-Host " [WARN] Kan GitHub organisatie informatie niet ophalen" -ForegroundColor Yellow $issues += "GitHub Enterprise organisatie configuratie niet geverifieerd" $compliant = $false } else { Write-Host " [OK] GitHub Enterprise organisatie gevonden" -ForegroundColor Green } } catch { Write-Host " [WARN] GitHub Enterprise configuratie check gefaald: $_" -ForegroundColor Yellow $issues += "GitHub Enterprise configuratie niet geverifieerd" $compliant = $false } # Controleren Copilot licentie configuratie Write-Host "`nControleren Copilot licentie configuratie..." -ForegroundColor Gray try { # GitHub Copilot for Business licentie check $copilotSettings = gh api orgs/{org}/copilot/billing 2>&1 if ($LASTEXITCODE -ne 0) { Write-Host " [WARN] GitHub Copilot for Business licentie niet geconfigureerd of niet beschikbaar" -ForegroundColor Yellow $issues += "GitHub Copilot for Business licentie niet geverifieerd (vereist voor enterprise beveiligingsfuncties)" $compliant = $false } else { Write-Host " [OK] GitHub Copilot for Business licentie gevonden" -ForegroundColor Green } } catch { Write-Host " [WARN] Kan Copilot licentie configuratie niet controleren: $_" -ForegroundColor Yellow $issues += "Copilot licentie configuratie niet geverifieerd" $compliant = $false } # Controleren privacy-instellingen Write-Host "`nControleren privacy-instellingen..." -ForegroundColor Gray try { # GitHub Copilot privacy settings check $privacySettings = gh api orgs/{org}/copilot/privacy 2>&1 if ($LASTEXITCODE -ne 0) { Write-Host " [WARN] Privacy-instellingen niet geconfigureerd of niet beschikbaar via API" -ForegroundColor Yellow $issues += "Privacy-instellingen niet geverifieerd (aanbevolen: privacy mode inschakelen)" } else { Write-Host " [OK] Privacy-instellingen gevonden" -ForegroundColor Green } } catch { Write-Host " [INFO] Privacy-instellingen check vereist handmatige verificatie in GitHub Enterprise portal" -ForegroundColor Gray $issues += "Privacy-instellingen vereisen handmatige verificatie" } # Controleren code exclusion patterns Write-Host "`nControleren code exclusion patterns..." -ForegroundColor Gray Write-Host " [INFO] Code exclusion patterns moeten handmatig worden geconfigureerd in GitHub Enterprise settings" -ForegroundColor Gray Write-Host " [INFO] Aanbevolen patterns: $($RequiredCodeExclusionPatterns -join ', ')" -ForegroundColor Gray $issues += "Code exclusion patterns vereisen handmatige configuratie en verificatie" # Controleren audit logging Write-Host "`nControleren audit logging..." -ForegroundColor Gray try { # GitHub audit log check $auditLogs = gh api orgs/{org}/audit-log --limit 1 2>&1 if ($LASTEXITCODE -ne 0) { Write-Host " [WARN] Audit logging niet beschikbaar of niet geconfigureerd" -ForegroundColor Yellow $issues += "Audit logging niet geverifieerd (vereist voor BIO compliance)" $compliant = $false } else { Write-Host " [OK] Audit logging beschikbaar" -ForegroundColor Green } } catch { Write-Host " [WARN] Kan audit logging niet controleren: $_" -ForegroundColor Yellow $issues += "Audit logging niet geverifieerd" $compliant = $false } # Controleren toegangsbeheer Write-Host "`nControleren toegangsbeheer..." -ForegroundColor Gray try { # GitHub team permissions check $teams = gh api orgs/{org}/teams 2>&1 if ($LASTEXITCODE -ne 0) { Write-Host " [WARN] Kan team configuratie niet ophalen" -ForegroundColor Yellow $issues += "Toegangsbeheer configuratie niet geverifieerd" } else { Write-Host " [OK] Team configuratie gevonden" -ForegroundColor Green Write-Host " [INFO] Controleer handmatig of alleen geautoriseerde teams toegang hebben tot Copilot" -ForegroundColor Gray } } catch { Write-Host " [WARN] Kan toegangsbeheer niet controleren: $_" -ForegroundColor Yellow $issues += "Toegangsbeheer niet geverifieerd" } return @{ IsCompliant = $compliant Issues = $issues TotalIssues = $issues.Count } } function Invoke-Monitoring { <# .SYNOPSIS Monitort de compliance status van GitHub Copilot beveiligingsconfiguraties #> [CmdletBinding()] param() Write-Host "`nMonitoring: GitHub Copilot Beveiligingsconfiguratie" -ForegroundColor Yellow Write-Host "===================================================" -ForegroundColor Yellow try { Connect-GitHubEnterprise | Out-Null } catch { Write-Host "`n[ERROR] Kan niet verbinden met GitHub Enterprise" -ForegroundColor Red Write-Host " Zorg ervoor dat GitHub CLI is geïnstalleerd en geconfigureerd" -ForegroundColor Yellow Write-Host " Voer 'gh auth login' uit om in te loggen" -ForegroundColor Yellow exit 1 } $result = Test-GitHubCopilotSecurity Write-Host "`nResultaten:" -ForegroundColor Cyan Write-Host " Totaal issues: $($result.TotalIssues)" -ForegroundColor $(if ($result.TotalIssues -eq 0) { "Green" } else { "Yellow" }) if ($result.Issues.Count -gt 0) { Write-Host "`n Gevonden issues:" -ForegroundColor Yellow foreach ($issue in $result.Issues) { Write-Host " - $issue" -ForegroundColor Yellow } } if ($result.IsCompliant) { Write-Host "`n✅ COMPLIANT - Alle kritieke beveiligingsconfiguraties zijn aanwezig" -ForegroundColor Green Write-Host " Let op: Sommige instellingen vereisen handmatige verificatie in GitHub Enterprise portal" -ForegroundColor Gray exit 0 } else { Write-Host "`n❌ NON-COMPLIANT - Actie vereist voor ontbrekende of incorrecte configuraties" -ForegroundColor Red Write-Host " Gebruik -Remediation om configuratie-instructies te genereren" -ForegroundColor Yellow exit 1 } } function New-SecurityConfigurationGuide { <# .SYNOPSIS Genereert een beveiligingsconfiguratie gids voor GitHub Copilot #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [string]$OutputPath ) $guide = @" # GitHub Copilot Beveiligingsconfiguratie Gids **Gegenereerd op:** $(Get-Date -Format "yyyy-MM-dd HH:mm:ss") **Organisatie:** [Organisatie naam] ## 1. Toegangsbeheer Configuratie ### GitHub Enterprise Licentiebeheer 1. Log in op GitHub Enterprise Management Portal 2. Navigeer naar Organization Settings > Billing 3. Controleer of GitHub Copilot for Business licentie is geactiveerd 4. Configureer licentie-toewijzing voor alleen geautoriseerde ontwikkelaars ### Team Permissions 1. Navigeer naar Organization Settings > Teams 2. Controleer welke teams toegang hebben tot Copilot 3. Zorg ervoor dat alleen geautoriseerde development teams toegang hebben 4. Configureer Conditional Access policies indien geïntegreerd met Microsoft Entra ID ## 2. Privacy-Instellingen Configuratie ### Privacy Mode 1. Navigeer naar Organization Settings > Copilot > Privacy 2. Schakel "Privacy mode" in om te voorkomen dat code wordt gedeeld met externe AI-modellen 3. Configureer privacy-instellingen per repository indien nodig ### Code Exclusion Patterns Configureer de volgende exclusion patterns in GitHub Enterprise: $($RequiredCodeExclusionPatterns | ForEach-Object { "- $_" } | Out-String) 1. Navigeer naar Organization Settings > Copilot > Privacy 2. Voeg exclusion patterns toe voor gevoelige bestanden en directories 3. Test exclusion patterns om te verifiëren dat ze correct functioneren ## 3. Audit Logging Configuratie ### Audit Log Inschakelen 1. Navigeer naar Organization Settings > Audit log 2. Zorg ervoor dat audit logging is ingeschakeld 3. Configureer log retention volgens BIO-vereisten (minimaal 7 jaar) 4. Exporteer audit logs regelmatig voor compliance-doeleinden ### Monitoring Dashboard 1. Configureer een monitoring dashboard voor Copilot-activiteiten 2. Stel alerts in voor verdachte activiteiten 3. Review audit logs regelmatig op beveiligingsincidenten ## 4. Code Review Processen ### Code Review Policy 1. Stel een code review policy op voor AI-gegenereerde code 2. Vereis dat alle Copilot-gegenereerde code wordt gereviewed voordat deze wordt gemerged 3. Configureer branch protection rules die code reviews vereisen ### Geautomatiseerde Code Scanning 1. Schakel GitHub Advanced Security in voor code scanning 2. Configureer CodeQL voor automatische beveiligingsanalyse 3. Configureer Secret Scanning om gevoelige informatie te detecteren 4. Stel alerts in voor beveiligingskwetsbaarheden en licentieconflicten ## 5. Compliance Verificatie ### BIO Compliance - [ ] Toegangscontrole geconfigureerd (BIO 5.1) - [ ] Encryptie van gevoelige gegevens (BIO 8.1) - [ ] Logging en monitoring actief (BIO 12.1) - [ ] Incident detectie geconfigureerd (BIO 12.2) ### AVG Compliance - [ ] Privacy by design geïmplementeerd (AVG Artikel 25) - [ ] Passende technische maatregelen (AVG Artikel 32) - [ ] Datalekrapportage procedures (AVG Artikel 33, 34) ### NIS2 Compliance - [ ] Beveiligingsmaatregelen geïmplementeerd (NIS2 Artikel 10) - [ ] Incident detectie en respons (NIS2 Artikel 11) ## 6. Monitoring en Onderhoud ### Regelmatige Checks - Wekelijks: Review audit logs op verdachte activiteiten - Maandelijks: Verifieer beveiligingsconfiguraties - Driemaandelijks: Compliance-audit uitvoeren - Jaarlijks: Volledige security assessment ### Incident Response 1. Documenteer incident response procedures voor Copilot-gerelateerde beveiligingsincidenten 2. Stel een incident response team samen 3. Test incident response procedures regelmatig ## 7. Training en Awareness ### Developer Training 1. Organiseer training voor ontwikkelaars over veilig gebruik van GitHub Copilot 2. Documenteer best practices voor prompt engineering 3. Train ontwikkelaars op code review van AI-gegenereerde code ### Security Awareness 1. Communiceer beveiligingsrisico's van Copilot-gebruik 2. Deel voorbeelden van veilige en onveilige code patterns 3. Organiseer regelmatige security awareness sessies "@ # Zorg dat de folder bestaat $folder = Split-Path -Path $OutputPath -Parent if (-not (Test-Path -Path $folder)) { New-Item -Path $folder -ItemType Directory -Force | Out-Null } $guide | Out-File -FilePath $OutputPath -Encoding UTF8 Write-Host " Configuratie gids gegenereerd: $OutputPath" -ForegroundColor Green } function Invoke-Remediation { <# .SYNOPSIS Genereert beveiligingsconfiguratie gids en instructies voor ontbrekende configuraties #> [CmdletBinding()] param() Write-Host "`nRemediatie: GitHub Copilot Beveiligingsconfiguratie" -ForegroundColor Yellow Write-Host "====================================================" -ForegroundColor Yellow try { Connect-GitHubEnterprise | Out-Null } catch { Write-Host "`n[ERROR] Kan niet verbinden met GitHub Enterprise" -ForegroundColor Red Write-Host " Zorg ervoor dat GitHub CLI is geïnstalleerd en geconfigureerd" -ForegroundColor Yellow Write-Host " Voer 'gh auth login' uit om in te loggen" -ForegroundColor Yellow exit 1 } $result = Test-GitHubCopilotSecurity if ($result.TotalIssues -eq 0) { Write-Host " Geen issues gevonden die remediatie vereisen" -ForegroundColor Green exit 0 } Write-Host "`nGenereren van beveiligingsconfiguratie gids..." -ForegroundColor Cyan $outputPath = ".\github-copilot-security-configuration-guide.md" if ($WhatIf) { Write-Host " [WhatIf] Zou configuratie gids genereren: $outputPath" -ForegroundColor Yellow } else { New-SecurityConfigurationGuide -OutputPath $outputPath } Write-Host "`n✅ Configuratie gids gegenereerd. Volg de instructies om beveiligingsconfiguraties te implementeren." -ForegroundColor Green Write-Host " Let op: Veel configuraties vereisen handmatige stappen in GitHub Enterprise portal" -ForegroundColor Yellow exit 0 } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { # Execute based on parameters if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { # Default: Compliance check Write-Host "GitHub Copilot Beveiligingsconfiguratie Check" -ForegroundColor Cyan Write-Host "Gebruik -Monitoring voor gedetailleerde rapportage" -ForegroundColor Yellow Write-Host "Gebruik -Remediation om configuratie-instructies te genereren" -ForegroundColor Yellow try { Connect-GitHubEnterprise | Out-Null $result = Test-GitHubCopilotSecurity if ($result.IsCompliant) { Write-Host "`n✅ COMPLIANT" -ForegroundColor Green } else { Write-Host "`n❌ NON-COMPLIANT" -ForegroundColor Red } return $result } catch { Write-Host "`n[ERROR] Kan compliance check niet uitvoeren: $_" -ForegroundColor Red exit 1 } } } catch { Write-Error "Error: $_" throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Critical - Zonder adequate beveiligingsconfiguratie voor GitHub Copilot loopt een organisatie het risico op datalekken van gevoelige code, bedrijfsgeheimen of persoonsgegevens, intellectueel eigendom risico's, en niet-naleving van compliance-vereisten. Voor Nederlandse overheidsorganisaties kan dit leiden tot AVG-boetes van toezichthouders, NIS2-sancties, reputatieschade en verlies van vertrouwen bij burgers.

Management Samenvatting

Implementeer een complete beveiligingsconfiguratie voor GitHub Copilot, inclusief toegangsbeheer, privacy-instellingen, code exclusion patterns, code review processen en audit logging. Dit waarborgt dat Copilot-gebruik voldoet aan BIO-, AVG- en NIS2-vereisten en dat gevoelige code wordt beschermd tegen datalekken en beveiligingsrisico's.