Este artigo faz parte de uma série sobre a adoção do GitHub Advanced Security em escala. Para ver o artigo anterior desta série, confira "Fase 2: Preparo para a habilitação em escala".
Sobre programas piloto
Recomendamos que você identifique algumas equipes e alguns projetos de alto impacto para usar em uma distribuição piloto do GHAS. Com isso, um grupo inicial se familiariza com o GHAS e cria uma base sólida nele antes da distribuição para o restante da empresa.
Essas etapas ajudam você a habilitar o GHAS em sua empresa, começar a usar as funcionalidades dele e revisar seus resultados. Se você estiver trabalhando com GitHub Professional Services, ele poderá fornecer assistência adicional por meio desse processo com sessões de integração, oficinas do GHAS e solução de problemas, conforme necessário.
Antes de iniciar os projetos piloto, recomendamos que você agende algumas reuniões para as equipes, como uma reunião inicial, uma revisão durante o processo e uma sessão de encerramento após a conclusão do piloto. Essas reuniões ajudarão você a fazer todos os ajustes, conforme necessário, e assegurarão que as equipes estejam preparadas e tenham o apoio necessário para concluir o piloto com sucesso.
Se você ainda não habilitou o GHAS para sua instância do GitHub Enterprise Server, confira "Como habilitar o GitHub Advanced Security para sua empresa".
Você precisa habilitar o GHAS em cada projeto piloto, habilitando o recurso para cada repositório ou para todos os repositórios em qualquer organização que participe do projeto. Para obter mais informações, confira "Como gerenciar as configurações de segurança e análise do seu repositório" ou "Como gerenciar as configurações de segurança e análise da sua organização".
Distribuição piloto do code scanning
Para habilitar a code scanning na sua instância do GitHub Enterprise Server, confira "Como configurar a verificação de código para seu dispositivo".
Para executar o exame de códigos em um repositório, crie um fluxo de trabalho do GitHub Actions a fim de executar a ação do CodeQL. O
Para mais informações sobre GitHub Actions, consulte:
- "Saiba como usar o GitHub Actions"
- "Noções básicas sobre o GitHub Actions"
- "Eventos que disparam fluxos de trabalho"
- "Folha de referências de filtros padrão"
Recomendamos habilitar o code scanning por repositório como parte do programa piloto. Para obter mais informações, confira "Como configurar a verificação de código para um repositório".
Para habilitar o exame de códigos para muitos repositórios, faça um script do processo.
Para ver um exemplo de um script que abre solicitações de pull para adicionar um fluxo de trabalho do GitHub Actions a vários repositórios, confira o repositório jhutchings1/Create-ActionsPRs
para ver um exemplo que usa o PowerShell ou nickliffen/ghas-enablement
para as equipes que não têm o PowerShell e desejam usar o NodeJS.
Ao executar a digitalização inicial de código, você pode descobrir que nenhum resultado foi encontrado ou que um número incomum de resultados foi retornado. Você pode querer ajustar o que é sinalizado em futuras digitalizações. Para obter mais informações, confira "Como configurar a verificação de código".
Se sua empresa quiser usar outras ferramentas de análise de código de terceiros com a digitalização de código do GitHub, você poderá usar ações para executar essas ferramentas dentro do GitHub. Como alternativa, é possível carregar os resultados, que são gerados por ferramentas de terceiros como arquivos SARIF, para o exame de códigos. Para obter mais informações, confira "Como fazer a integração � verificação de código".
Distribuição piloto do secret scanning
O GitHub digitaliza repositórios de tipos conhecidos de segredos, para evitar o uso fraudulento de segredos que foram cometidos acidentalmente.
Para habilitar a verificação de segredos para sua instância do GitHub Enterprise Server, confira "Como configurar a verificação de segredos para seu dispositivo".
Você precisa habilitar digitalização de segredos para cada projeto piloto, habilitando o recurso para cada repositório ou para todos os repositórios de qualquer organização que participe do projeto. Para saber mais, confira "Como gerenciar as configurações de segurança e de análise do repositório" ou "Como gerenciar as configurações de segurança e de análise da organização".
Se você tiver coletado padrões personalizados específicos para sua empresa, especialmente os relacionados aos projetos envolvidos na distribuição piloto do secret scanning, será possível configurá-los. Para obter mais informações, confira "Como definir padrões personalizados para a verificação de segredos".
Para saber como ver e fechar alertas de segredos com check-in no seu repositório, confira "Como gerenciar alertas da verificação de segredos".
Para ver o próximo artigo desta série, confira "Fase 4: Criar a documentação interna".