Sobre a avaliação do GitHub Advanced Security
Você pode avaliar o GitHub Advanced Security de modo independente ou trabalhar com um especialista no GitHub ou uma organização parceira. O público principal desses artigos são as pessoas que planejarão e executarão a avaliação de modo independente, normalmente pequenas e médias organizações.
Note
Embora o GitHub Advanced Security seja gratuito durante as avaliações, você será cobrado por todos os minutos de ações usados. Ou seja, os minutos de ações usados pela configuração padrão do code scanning ou por outros fluxos de trabalho executados.
Usuários existentes do GitHub Enterprise Cloud
Para saber mais, confira Como configurar uma avaliação gratuita do GitHub Advanced Security na documentação do GitHub Enterprise Cloud .
Usuários em outros planos do GitHub
Você pode avaliar o GitHub Advanced Security como parte de uma avaliação do GitHub Enterprise Cloud. Para saber mais, confira Configurar uma versão de avaliação do GitHub Enterprise Cloud na documentação do GitHub Enterprise Cloud.
Quando a avaliação termina
Você pode encerrar a avaliação a qualquer momento comprando o GitHub Advanced Security e o GitHub Enterprise se ainda não o usa ou cancelando a avaliação. Para saber mais, confira O que acontece quando a avaliação termina? na documentação do GitHub Enterprise Cloud.
Definir as metas da empresa
Antes de iniciar uma avaliação do GitHub Advanced Security, defina a finalidade da avaliação e identifique as principais perguntas que precisa responder. Manter um foco claro nessas metas permitirá que você planeje uma avaliação que maximize descobertas e garanta que você tenha as informações necessárias para decidir se deseja ou não fazer upgrade.
Se sua empresa já usa o GitHub, considere quais necessidades não são atendidas no momento e que o GitHub Advanced Security pode resolver. Considere também a atual postura de segurança do aplicativo e os objetivos de longo prazo. Para ter inspiração, confira Princípios de design da segurança de aplicativos na documentação sobre boa arquitetura do GitHub.
| Exemplo necessário | Recursos a explorar durante a avaliação |
|---|---|
| Impor o uso de recursos de segurança | Configurações e políticas de segurança de nível empresarial; confira Sobre as configurações de segurança e Sobre as políticas empresariais |
| Proteger tokens de acesso personalizados | Padrões personalizados para secret scanning, bypass delegado para proteção por push e verificações de validade; confira Explorando sua avaliação empresarial da verificação de segredo |
| Definir e impor um processo de desenvolvimento | Revisão de dependência, regras de triagem automática, conjuntos de regras e políticas; confira Sobre a análise de dependência, Sobre as regras de triagem automática do Dependabot, Sobre os conjuntos de regras e Sobre as políticas empresariais |
| Reduzir a dívida técnica em escala | Code scanning e campanhas de segurança; confira Explorando sua avaliação empresarial da digitalização de código |
| Monitorar e acompanhar tendências em riscos de segurança | Visão geral de segurança; confira Exibir insights de segurança |
Se sua empresa ainda não usa o GitHub, provavelmente você tem perguntas adicionais, incluindo como a plataforma lida com residência de dados, gerenciamento seguro de conta e migração de repositório. Para saber mais, confira Introdução ao GitHub Enterprise Cloud.
Identificar os membros da equipe de avaliação
O GitHub Advanced Security permite que você integre medidas de segurança ao longo do ciclo de vida de desenvolvimento de software, portanto, é importante garantir a inclusão de representantes de todas as áreas do ciclo de desenvolvimento. Caso contrário, você corre o risco de tomar uma decisão sem ter todos os dados necessários. Uma avaliação inclui 50 licenças, o que fornece escopo para representação de uma gama mais ampla de pessoas.
Você também pode achar útil identificar um campeão para cada necessidade da empresa que você deseja investigar.
Determinar se uma pesquisa preliminar é necessária
Se os membros da equipe de avaliação ainda não usaram os principais recursos do GitHub Advanced Security, talvez seja útil adicionar uma fase de experimentação a repositórios públicos antes de iniciar uma avaliação. Muitos dos principais recursos da code scanning e da secret scanning podem ser usados em repositórios públicos. Ter uma boa compreensão dos principais recursos permitirá que você concentre seu período de avaliação em repositórios privados e explore os recursos e o controle adicionais disponíveis com o GitHub Advanced Security.
Para saber mais, confira Sobre a varredura de código, Sobre a segurança da cadeia de suprimento e Sobre a verificação de segredo.
Definir as organizações e os repositórios a serem testados
Geralmente, é melhor usar uma organização existente para uma avaliação. Isso garante que você possa testar os recursos em repositórios que conhece bem e que representam com precisão seu ambiente de codificação. Depois de iniciar a avaliação, talvez você queira criar organizações adicionais com código de teste para expandir suas explorações.
Lembre-se de que aplicativos deliberadamente inseguros, como o WebGoat, podem conter padrões de codificação que parecem não ser seguros, mas que a code scanning determina que não podem ser explorados. A Code scanning normalmente gera menos resultados para bases de código artificialmente inseguras do que outros verificadores de segurança de aplicativo estáticos.
Definir os critérios de avaliação para a avaliação
Para cada necessidade ou meta da empresa que você identificar, determine quais critérios você medirá para determinar se ela foi atendida com êxito ou não. Por exemplo, se for necessário impor o uso de recursos de segurança, você poderá definir uma variedade de casos de teste para configurações e políticas de segurança para ter confiança de que eles impõem processos como você espera.