Совет
Эта статья является частью серии материалов о масштабном усыновлении GitHub Advanced Security . Предыдущие статьи этой серии см. в разделе Этап 2. Подготовка к включению в большом масштабе.
О пилотных программах
Мы рекомендуем определить несколько проектов или команд с высоким уровнем влияния для использования в пилотном запуске GHAS. Это позволит первой группе в вашей компании познакомиться с GHAS и создать надежный фундамент для GHAS перед развертыванием в оставшейся части компании.
Действия этого этапа помогут вам включить GHAS на предприятии, приступить к использованию его функций и изучить результаты. Если вы работаете с GitHub Professional Services, они могут оказать дополнительную помощь в этом процессе через сессии адаптации, мастер-классы GHAS и устранение неполадок по мере необходимости.
Перед запуском пилотных проектов мы рекомендуем запланировать ряд совещаний для ваших команд, например стартовое совещание, проверку в середине этапа и завершающее совещание по пилотному проекту. Такие совещания помогут вам внести необходимые изменения и убедиться, что ваши команды подготовлены и располагают достаточной поддержкой для успешного выполнения пилотного проекта.
Пилотирование всех GitHub Advanced Security функций
Вы можете быстро активировать функции безопасности в масштабе с помощью security configuration — набора настроек обеспечения безопасности, которые можно применить к репозиториям организации. Вы можете настроить Advanced Security функции на уровне организации с помощью global settings. См . раздел AUTOTITLE.
Пилотирование code scanning
Вы можете быстро настроить настройки по умолчанию для code scanning нескольких репозиториев организации с помощью обзора безопасности. Дополнительные сведения см. в разделе Настройка настройки по умолчанию для сканирования кода в масштабе.
Вы также можете включить code scanning все репозитории в организации, но мы рекомендуем настроить code scanning подмножество репозиториев с высоким воздействием для вашей пилотной программы.
Для некоторых языков или систем сборки может потребоваться настроить расширенную настройку для code scanning для получения полного охвата базы кода. Однако для расширенной настройки требуется значительно больше усилий по настройке, настройке и обслуживанию, поэтому рекомендуется сначала включить настройку по умолчанию.
Если ваша компания хочет использовать другие сторонние инструменты анализа кода с GitHubcode scanning, вы можете использовать действия для запуска этих инструментов внутри GitHub. В качестве альтернативы можно загрузить результаты, которые генерируются сторонними инструментами в виде SARIF-файлов, в code scanning. Дополнительные сведения см. в разделе Интеграция с существующими инструментами.
Пилотирование secret scanning
GitHub сканирует хранилища на наличие известных типов секретов, чтобы предотвратить случайное использование секретов.
Для каждого пилотного проекта нужно включать secret scanning и продвигать защиту для каждого пилотного проекта. Вы можете сделать это с security configurationпомощью . Дополнительные сведения см. в разделе Создание настраиваемой конфигурации безопасности.
Если вы планируете настроить ссылку на ресурс в сообщении, которое отображается при попытке разработчика отправить заблокированный секрет, теперь будет хорошим временем для тестирования и начала уточнения рекомендаций, которые вы планируете сделать доступными.
Начните просматривать действия с помощью страницы метрик защиты push-уведомлений в обзоре безопасности. Дополнительные сведения см. в разделе Метрики защиты от пуш-пуша секретного сканирования.
Если у вас есть какие-то кастомные шаблоны, специфичные для вашего предприятия, особенно связанные с пилотированием secret scanningпроектов, вы можете их настроить. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов.
Сведения о просмотре и закрытии оповещений о секретах, зарегистрированных в репозитории, см. в разделе Управление оповещениями проверки секретов.
Совет
В следующей статье этой серии см . раздел AUTOTITLE.