Skip to main content

Fase 3: Programas piloto

Pode ser útil começar com algumas equipes e alguns projetos de alto impacto ao pilotar uma distribuição inicial. Isto permitirá que um grupo inicial da sua empresa se familiarize com o GHAS, aprenda a habilitar e configurar o GHAS e construa uma base sólida no GHAS antes de fazer a implementação no restante da sua empresa.

Note

Este artigo faz parte de uma série sobre a adoção do GitHub Advanced Security em escala. Para ver o artigo anterior desta série, confira Fase 2: Preparo para a habilitação em escala.

Sobre programas piloto

Recomendamos que você identifique algumas equipes e alguns projetos de alto impacto para usar em uma distribuição piloto do GHAS. Com isso, um grupo inicial se familiariza com o GHAS e cria uma base sólida nele antes da distribuição para o restante da empresa.

Essas etapas ajudam você a habilitar o GHAS em sua empresa, começar a usar as funcionalidades dele e revisar seus resultados. Se você estiver trabalhando com GitHub Professional Services, ele poderá fornecer assistência adicional por meio desse processo com sessões de integração, oficinas do GHAS e solução de problemas, conforme necessário.

Antes de iniciar os projetos piloto, recomendamos que você agende algumas reuniões para as equipes, como uma reunião inicial, uma revisão durante o processo e uma sessão de encerramento após a conclusão do piloto. Essas reuniões ajudarão você a fazer todos os ajustes, conforme necessário, e assegurarão que as equipes estejam preparadas e tenham o apoio necessário para concluir o piloto com sucesso.

Se você ainda não habilitou o GHAS para sua instância do GitHub Enterprise Server, confira Como habilitar a Segurança Avançada do GitHub para sua empresa.

Distribuição piloto do code scanning

Para habilitar a code scanning na sua instância do GitHub Enterprise Server, confira Como configurar a verificação de código do seu dispositivo.

Você pode executar a code scanning em um repositório criando um fluxo de trabalho das GitHub Actions para executar a ação de CodeQL. Para mais informações sobre GitHub Actions, consulte:

Recomendamos habilitar o code scanning por repositório como parte do programa piloto. Para saber mais, confira Como definir a configuração avançada para verificação de código.

Caso deseje habilitar a code scanning para muitos repositórios, faça um script do processo.

Para ver um exemplo de um script que abre solicitações de pull para adicionar um fluxo de trabalho do GitHub Actions a vários repositórios, confira o repositório jhutchings1/Create-ActionsPRs para ver um exemplo que usa o PowerShell ou nickliffen/ghas-enablement para as equipes que não têm o PowerShell e desejam usar o NodeJS.

Ao executar a digitalização inicial de código, você pode descobrir que nenhum resultado foi encontrado ou que um número incomum de resultados foi retornado. Você pode querer ajustar o que é sinalizado em futuras digitalizações. Para saber mais, confira Personalizando a configuração avançada para varredura de código.

Se sua empresa quiser usar outras ferramentas para análise de código de terceiros com a GitHub code scanning, você poderá usar ações para executar essas ferramentas no GitHub. Como alternativa, é possível carregar os resultados, que são gerados por ferramentas de terceiros como arquivos SARIF, para a code scanning. Para saber mais, confira Integrar com varredura de código.

Distribuição piloto do secret scanning

GitHub verifica repositórios em busca de tipos de segredos conhecidos, a fim de impedir o uso fraudulento de segredos que sofreram commit acidentalmente.

Para habilitar a verificação de segredos do GitHub Enterprise Server, confira Configurar a varredura de segredo para o seu dispositivo.

Você precisa habilitar a secret scanning para cada projeto piloto, habilitando o recurso para cada repositório ou para todos os repositórios de qualquer organização que participe do projeto. Para obter mais informações, confira Gerenciando as configurações de segurança e análise do repositório ou Gerenciando as configurações de segurança e de análise da sua organização.

Em seguida, habilite a proteção por push para cada projeto piloto.

Se você planeja configurar um link para um recurso na mensagem exibida quando um desenvolvedor tenta efetuar push de um segredo bloqueado, agora seria um bom momento para testar e começar a refinar as diretrizes que você planeja disponibilizar.

Comece a revisar a atividade usando a página de métricas de proteção por push na visão geral de segurança. Para saber mais, confira Exibir métricas para proteção por push para a verificação de segredos.

Se você tiver coletado padrões personalizados específicos para sua empresa, especialmente os relacionados aos projetos envolvidos na distribuição piloto do secret scanning, será possível configurá-los. Para saber mais, confira Definir padrões personalizados para a verificação de segredo.

Para saber como exibir e fechar alertas de segredos com check-in no seu repositório, confira Gerenciar alertas da verificação de segredo.

Note

Para ver o próximo artigo desta série, confira Fase 4: Criar a documentação interna.