この記事は、GitHub Advanced Security の大規模な導入に関するシリーズの一部です。 このシリーズの前の記事については、「フェーズ 3: パイロット プログラ� 」を参照してく� さい。
GitHub Advanced Security を有効にする前に、チー� が従うプロセスを定義する内部ドキュメントを作成する必要があります。 プロセスが、単にチー� に最善の判断を適用するように求める� �合でも、セキュリティ アラートを受け取ったときに何をすべきかを全員が知る必要があります。 また、ドキュメントを使用すると、開発者が質問がある� �合にブロックされるのを防ぐことができます。 GHAS に関するドキュメントは、開発者ポータルやカスタ� ナレッジ ベースなど、開発者向けの既存のドキュメントと共に配置する必要があります。
パイロット プログラ� を実行した� �合は、それらのパイロットに関係するチー� のエクスペリエンスとフィードバックを使用して、ドキュメントに反� させます。 これは、企業に固有の問題が発生し、他のチー� にも発生する可能性が高い� �合に特に便利です。
内部ドキュメントの作成をスキップしても、ロールアウトは意図したペースでは進みません。 内部ドキュメントを作成すると、最初のロールアウトが 1、2 週間遅くなることがありますが、開発者があなたのチー� に来ずに、自身で質問に答えることができるときにその時間が埋め合わせられます。
教育は、さまざまな状況で何をすべきかを開発者に教えるので、おそらくロールアウトの最も重要な部分です。 開発者がリポジトリのセキュリティを維持する権限を与えられていることと、セキュリティ チー� が開発者の行っていることと、セキュリティの最善の利益の両方を検証する権限を持っていることを確認する必要があります。 内部ドキュメントに� えて、教育はオンライン セッションや Q&A などの形式を取ることができます。
このシリーズの次の記事については、「フェーズ 5: コード スキャンのロールアウトとスケーリング」をご覧く� さい。