Informationen zum Testen von GitHub Advanced Security
Du kannst GitHub Advanced Security unabhängig testen oder mit einem Experten von GitHub oder einer Partnerorganisation arbeiten. Die primäre Zielgruppe für diese Artikel sind Personen, die ihre Testversion unabhängig planen und ausführen, in der Regel kleine und mittlere Organisationen.
Note
Obwohl GitHub Advanced Security während der Testversion kostenlos ist, fallen Gebühren für alle Aktionsminuten an. Dazu zählen Aktionsminuten, die vom standardmäßigen code scanning-Setup oder von anderen ausgeführten Workflows verwendet werden.
Vorhandene GitHub Enterprise Cloud-Benutzende
Weitere Informationen findest du unter Einrichten einer Testversion von GitHub Advanced Security in der GitHub Enterprise Cloud-Dokumentation.
Benutzende mit anderen GitHub-Plänen
Du kannst GitHub Advanced Security mit einer Testversion von GitHub Enterprise Cloud testen. Weitere Informationen findest du unter Eine Testversion von GitHub Enterprise einrichten in der GitHub Enterprise Cloud-Dokumentation.
Beenden der Testversion
Du kannst deine Testversion jederzeit beenden, indem du GitHub Advanced Security und GitHub Enterprise erwirbst, wenn du diese noch nicht verwendest oder die Testversion kündigst. Weitere Informationen findest du unter Was geschieht, wenn die Testversion abläuft? in der GitHub Enterprise Cloud-Dokumentation.
Definieren der Unternehmensziele
Bevor du eine Testversion von GitHub Advanced Security startest, solltest du den Zweck der Testversion definieren und die wichtigsten Fragen bestimmen, die beantwortet werden müssen. Einen starken Fokus auf diese Ziele beizubehalten, ermöglicht es, eine Testversion zu planen, die die Ermittlung maximiert und sicherstellt, dass du über die erforderlichen Informationen verfügst, um zu entscheiden, ob ein Upgrade durchgeführt werden soll.
Wenn dein Unternehmen bereits GitHub verwendet, solltest du berücksichtigen, welche Anforderungen derzeit nicht erfüllt sind, die GitHub Advanced Security erfüllen könnte. Du solltest auch den aktuellen Anwendungssicherheitsstatus und langfristige Ziele berücksichtigen. Inspiration findest du in der GitHub-Dokumentation unter Entwurfsprinzipien für Anwendungssicherheit.
| Beispielbedarf | Features, die während der Testversion auszuprobieren sind |
|---|---|
| Erzwingen der Verwendung von Sicherheitsfeatures | Weitere Informationen zu Sicherheitskonfigurationen und -richtlinien auf Unternehmensebene findest du unter Informationen zu Sicherheitskonfigurationen und Informationen zu Unternehmensrichtlinien. |
| Schützen von benutzerdefinierten Zugriffstoken | Weitere Informationen zu benutzerdefinierten Mustern für secret scanning, der delegierten Umgehung für Pushschutz und Gültigkeitsprüfungen findest du unter Unternehmenstestversion für die Geheimnisüberprüfung. |
| Definieren und Erzwingen eines Entwicklungsprozesses | Weitere Informationen zu Abhängigkeitsüberprüfung, Autoselektierungsregeln, Regelsätzen und Richtlinien findest du unter Informationen zur Abhängigkeitsüberprüfung, Über Auto-Triage-Regeln von Dependabot, Informationen zu Regelsätzen und Informationen zu Unternehmensrichtlinien. |
| Verringerung der technischen Schulden im großen Stil | Weitere Informationen zu Code scanning und Sicherheitskampagnen findest du unter Erkunden von Code-Scans in der Unternehmenstestversion. |
| Überwachen und Nachverfolgen von Trends bei Sicherheitsrisiken | Eine Sicherheitsübersicht findest du unter Einblicke in die Sicherheit anzeigen. |
Wenn dein Unternehmen GitHub noch nicht verwendet, hast du wahrscheinlich zusätzliche Fragen, z. B. wie die Plattform die Datenhaltung verarbeitet, zur sicheren Kontoverwaltung und zur Repositorymigration. Weitere Informationen finden Sie unter Erste Schritte mit GitHub Enterprise Cloud.
Zusammenstellen der Mitglieder deines Testteams
GitHub Advanced Security ermöglicht es dir, Sicherheitsmaßnahmen in den gesamten Lebenszyklus der Softwareentwicklung zu integrieren. Daher ist es wichtig, sicherzustellen, dass Vertreter aus allen Bereichen des Entwicklungszyklus einbezogen werden. Andernfalls riskierst du, eine Entscheidung zu treffen, ohne alle benötigten Daten zu haben. Eine Testversion umfasst 50 Lizenzen, wodurch eine breitere Palette an Personen repräsentiert werden kann.
Möglicherweise ist es auch hilfreich, einen Experten für jede Unternehmensanforderung zu ermitteln, den du untersuchen möchtest.
Ermitteln, ob vorbereitende Forschung erforderlich ist
Wenn Mitglieder deines Testteams die Kernfeatures von GitHub Advanced Security noch nicht verwendet haben, kann es hilfreich sein, eine Experimentierphase in öffentlichen Repositorys hinzuzufügen, bevor du eine Testversion startest. Viele der Hauptfeatures von code scanning und secret scanning können in öffentlichen Repositorys verwendet werden. Mit einem guten Verständnis der Kernfeatures kannst du dich im Testzeitraum auf private Repositorys konzentrieren und die zusätzlichen Features und Kontrolle kennenlernen, die durch GitHub Advanced Security verfügbar sind.
Weitere Informationen findest du unter Informationen zu Codescans, Informationen zur Lieferkettensicherheit und Informationen zur Geheimnisüberprüfung.
Vereinbaren der zu testenden Organisationen und Repositorys
Im Allgemeinen empfiehlt es sich, eine vorhandene Organisation für eine Testversion zu verwenden. Dadurch wird sichergestellt, dass du die Features in Repositorys testen kannst, die du gut kennst und die deine Programmierumgebung exakt repräsentieren. Nachdem du die Testversion gestartet hast, solltest du zusätzliche Organisationen mit Testcode erstellen, um die Erkundung fortzusetzen.
Beachte, dass absichtlich unsichere Anwendungen, z. B. WebGoat, Codierungsmuster enthalten können, die unsicher erscheinen, doch bei denen code scanning feststellt, dass sie nicht ausgenutzt werden können. Code scanning generiert in der Regel weniger Ergebnisse für künstlich unsicher gemachte Codebasen als andere statische Anwendungssicherheitsscanner.
Definieren der Bewertungskriterien für die Testversion
Bestimme für jede Unternehmensanforderung oder jedes Unternehmensziel, das du identifizierst, welche Kriterien gemessen werden, um festzustellen, ob diese erfüllt wurden oder nicht. Wenn beispielsweise die Verwendung von Sicherheitsfeatures erzwungen werden muss, kannst du eine Reihe von Testfällen für Sicherheitskonfigurationen und -richtlinien definieren, um sicher zu wissen, dass sie die Prozesse wie erwartet erzwingen.