提示
本文是大规模采用 GitHub Advanced Security 的系列文章的一部分。 有关本系列的上一篇文章,请参阅“第 2 阶段:准备大规模启用”。
关于试点计划
建议确定一些非常重要的项目或团队,以用于 GHAS 的试点推广。 这将使公司内的初始组能够熟悉 GHAS,并为 GHAS 打好坚实的基础,然后再推出到公司的其他团队。
本阶段的这些步骤将帮助你在你的企业中启用 GHAS、开始使用其功能并查看结果。 如果你正在使用 GitHub Professional Services,他们可以通过入职培训会、GHAS 研讨会与根据需要进行的故障排除,在此过程中提供额外的帮助。
在开始试点项目之前,建议为团队安排一些会议,例如初始会议、中期审查和试点完成后的总结会议。 这些会议将帮助你根据需要进行调整,并确保团队做好准备并获得支持,以成功完成试点。
如果尚未为 GitHub Enterprise Server 实例启用 GHAS,请参阅 为企业启用 GitHub Advanced Security 产品。
试点所有 GitHub Advanced Security 功能
可以使用 security configuration大规模启用安全功能,这是可应用于组织中的存储库的安全启用设置集合。 可以在组织级别使用 Advanced Security 自定义 global settings 的功能。 请参阅“关于批量启用安全功能”。
驾驶 code scanning
若要在您的GitHub Enterprise Server实例上启用code scanning,请参阅为设备配置代码扫描。
可以通过安全概述在组织中跨多个存储库快速配置默认设置code scanning。 有关详细信息,请参阅“配置大规模代码扫描的默认设置”。
还可以选择为组织中的所有存储库启用 code scanning ,但我们建议针对试点计划配置 code scanning 一部分高影响存储库。
对于某些语言或生成系统,可能需要改为为 code scanning 配置高级设置,以便全面了解代码库。 但是,高级设置需要在配置、自定义和维护上投入更多工作量,因此我们建议首先启用默认设置。
如果你的公司想要使用其他第三方代码分析工具,可以使用操作在GitHub中运行这些工具。 或者,可以将第三方工具生成的结果作为 SARIF 文件上传到 code scanning。 有关详细信息,请参阅“与现有工具集成”。
飞行操作 secret scanning
GitHub 扫描存储库中已知类型的机密,以防止意外使用机密的欺诈性。
若要为 GitHub Enterprise Server 实例启用机密扫描,请参阅 为设备配置密码扫描。
你需要为每个试点项目启用 secret scanning 和推送保护。 可以通过 security configuration 来实现这一操作。 有关详细信息,请参阅“删除自定义安全配置”。
如果你计划在开发人员尝试推送被阻止的机密时显示的消息中配置指向资源的链接,那么现在是测试并开始完善你计划提供的指南的好时机。
开始使用安全概览中的推送保护指标页面审阅活动。 有关详细信息,请参阅“机密扫描推送保护指标”。
如果已整理特定于企业的任何自定义模式,尤其是与项目试点 secret scanning相关的任何自定义模式,则可以配置这些模式。 有关详细信息,请参阅“为机密扫描定义自定义模式”。
若要了解如何查看和关闭已签入仓库的机密警报,请参阅“管理机密扫描警报”。
提示
有关本系列的下一篇文章,请参阅“第 4 阶段:创建内部文档”。