Эта статья является частью серии "Внедрение GitHub Advanced Security в большом масштабе". Предыдущие статьи в этой серии см. в разделе "Этап 2. Подготовка к включению в большом масштабе".
О пилотных программах
Мы рекомендуем определить несколько проектов или команд с высоким уровнем влияния для использования в пилотном запуске GHAS. Это позволит первой группе в вашей компании познакомиться с GHAS и создать надежный фундамент для GHAS перед развертыванием в оставшейся части компании.
Действия этого этапа помогут вам включить GHAS на предприятии, приступить к использованию его функций и изучить результаты. Если вы работаете с GitHub Professional Services, они могут оказать дополнительную помощь в рамках этого процесса посредством сессий адаптации, семинаров GHAS и устранения неполадок по мере необходимости.
Перед запуском пилотных проектов мы рекомендуем запланировать ряд совещаний для ваших команд, например стартовое совещание, проверку в середине этапа и завершающее совещание по пилотному проекту. Такие совещания помогут вам внести необходимые изменения и убедиться, что ваши команды подготовлены и располагают достаточной поддержкой для успешного выполнения пилотного проекта.
Пилотирование всех функций GitHub Advanced Security
Вы можете быстро включить функции безопасности в масштабе с помощью GitHub-recommended security configuration, коллекции параметров включения безопасности, которые можно применить к репозиториям в организации. Затем можно дополнительно настроить функции GitHub Advanced Security на уровне организации с помощью global settings. См. раздел "Сведения о включении функций безопасности в масштабе".
Пилотный запуск code scanning
Вы можете быстро настроить настройку по умолчанию для code scanning в нескольких репозиториях в организации с помощью обзора безопасности. Дополнительные сведения см. в разделе Настройка настройки по умолчанию для сканирования кода в масштабе.
Вы также можете включить code scanning для всех репозиториев в организации, но рекомендуется настроить code scanning в подмножестве репозиториев с высоким влиянием для пилотной программы.
Для некоторых языков или систем сборки может потребоваться настроить расширенную настройку для code scanning для получения полного охвата базы кода. Однако для расширенной настройки требуется значительно больше усилий по настройке, настройке и обслуживанию, поэтому рекомендуется сначала включить настройку по умолчанию.
Если ваша компания хочет использовать другие сторонние средства анализа кода с GitHub code scanning, можно использовать действия для запуска этих средств в GitHub. Кроме того, можно отправить результаты, созданные сторонними инструментами в виде SARIF-файлов, в code scanning. Дополнительные сведения см. в разделе Интеграция со сканированием кода.
Пилотный запуск secret scanning
GitHub проверяет репозитории известных типов секретов, чтобы предотвратить случайное использование секретов, которые были совершены случайно.
Необходимо включить secret scanning и отправить защиту для каждого пилотного проекта. Это можно сделать с помощью GitHub-recommended security configurationили создать custom security configuration. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Применение рекомендуемой конфигурации безопасности GitHub в организации](/code-security/securing-your-organization/enabling-security-features-in-your-organization/creating-a-custom-security-configuration)".
Если вы планируете настроить ссылку на ресурс в сообщении, которое отображается при попытке разработчика отправить заблокированный секрет, теперь будет хорошим временем для тестирования и начала уточнения рекомендаций, которые вы планируете сделать доступными.
Начните просматривать действия с помощью страницы метрик защиты push-уведомлений в обзоре безопасности. Дополнительные сведения см. в разделе Просмотр метрик для защиты от принудительной проверки секретов.
Если вы добавили какие-либо пользовательские шаблоны, характерные для вашего предприятия, особенно связанные с пилотными проектами secret scanning, вы можете настроить их. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов.
Сведения о просмотре и закрытии оповещений о секретах, зарегистрированных в репозитории, см. в разделе "Управление оповещениями о проверке секретов".
В следующей статье этой серии см. раздел "Этап 4. Создание внутренней документации".