Bewährte Methoden für die Auswahl von Pilotrepositorys

Die richtigen Pilot-Repositorys zeigen schnell Wert und bereiten Ihre Organisation auf eine umfassendere Aktivierung von GitHub Advanced Security vor.

In diesem Artikel

Führen Sie vor der Aktivierung GitHub Advanced Security organisationsweit ein Pilotprojekt aus, um die Lösung mit einer kleinen Gruppe von Repositorys zu überprüfen. Ein Pilotprojekt hilft Ihnen beim Verfeinern Ihrer Rolloutstrategie, beim Identifizieren von Workflowanpassungen und beim Demonstrieren des Sicherheitswerts für die Projektbeteiligten. Dieser Artikel hilft Ihnen bei der Auswahl der besten Repositorys für Ihr Pilotprojekt.

Ein erfolgreiches Pilotprojekt erfordert eine strategische Repositoryauswahl. Die von Ihnen ausgewählten Repositorys bestimmen, wie schnell Sie Wert demonstrieren, umsetzbares Feedback sammeln und sich auf die organisationsweite Einführung vorbereiten können.

Auswahlkriterien

Ein erfolgreiches Pilotprojekt erfordert eine strategische Repositoryauswahl. Die von Ihnen ausgewählten Repositorys bestimmen, wie schnell Sie Wert demonstrieren, umsetzbares Feedback sammeln und sich auf die organisationsweite Einführung vorbereiten können.

Berücksichtigen Sie beim Auswählen von Repositorys die folgenden Kriterien.

Aktives Entwicklungs- und Teamengagement

Ihr Pilotprojekt benötigt Repositorys, die zeitnah Feedback dazu generieren, wie Advanced Security sie in die tägliche Entwicklungsarbeit passen.

  • Wählen Sie Repositories mit regelmäßigen Commits und Pull Requests aus. Aktive Repositorys generieren schnell Feedback und zeigen, wie Advanced Security sie in echte Entwicklungsworkflows passen.
  • Wählen Sie Teams aus, die sich mit dem Pilotprojekt beschäftigen. Reaktionsfähige Betreuer identifizieren Workflowanpassungen schneller und helfen beim Verfeinern Ihrer Rolloutstrategie.
  •         **Verwenden Sie Repositoryeigenschaften** , um Repositorys nach Team, Kritischität oder anderen benutzerdefinierten Attributen systematisch zu identifizieren. Siehe [AUTOTITLE](/organizations/managing-organization-settings/managing-custom-properties-for-repositories-in-your-organization).

Bekannte geheime Exposition

Wählen Sie Repositories aus, von denen Sie vermuten, dass sie Geheimnisse enthalten, basierend auf früheren Vorfällen oder Sicherheitsüberprüfungen. Diese Repositorys sind ideale Pilotkandidaten, da sie es Ihnen ermöglichen, die Effektivität des Tools schnell zu überprüfen.

Priorisieren Sie Repositorys mit Produktionsanmeldeinformationen, Infrastrukturkonfigurationen oder Integrationen mit kritischen Diensten. Diese wertvollen Ziele veranschaulichen den Wert in Bezug auf die Sicherheit von Advanced Security.

Technische Vielfalt

Ihr Test sollte überprüfen, ob Advanced Security mit Ihren Programmiersprachen und -tools arbeiten kann.

  • Schließen Sie Repositorys mit verschiedenen Programmiersprachen und Frameworks ein. Dadurch wird die Abdeckung Advanced Security in Ihrer Codebasis validiert.
  • Wählen Sie Repositorys mit CI/CD-Pipelines aus, um potenzielle Auswirkungen auf die Bereitstellung frühzeitig zu identifizieren. Das Verständnis dieser Interaktionen verhindert Überraschungen während des umfassenderen Rollouts.

Organisationsdarstellung

Ein erfolgreiches Pilotprojekt erfordert ein Buy-In aus verschiedenen Teilen Ihrer Organisation.

  • Wählen Sie Repositorys aus verschiedenen Teams oder Geschäftseinheiten aus. Ein vielfältiges Feedback zeigt Muster, die nicht aus der Erfahrung eines einzelnen Teams entstehen würden.
  • Schließen Sie mindestens ein Repository ein, das der Führung wichtig ist. Die Sichtbarkeit des Managements sorgt für den Erhalt der Pilotdynamik und erleichtert zukünftige Budgetdiskussionen.

Repositorys, die anfänglich vermieden werden sollen

Nicht alle Repositorys machen gute Pilot-Kandidaten.

  •         **Repositorys mit geringer Aktivität oder archivierten Repositorys**: Sie erhalten kein zeitnahes Workflowfeedback.

  •         **Experimentelle oder persönliche Repositorys: Diese Repositorys** spiegeln keine Produktionsmuster wider.

  •         **Repositorys mit komplexen benutzerdefinierten Tools**: Ungewöhnliche Workflows können Feedback erschweren.

  •         **Unternehmenskritische Repositorys mit null Änderungstoleranz**: Es ist am besten, diese Repositorys _nach_ der Überprüfung der Lösung hinzuzufügen.

Pilotgröße nach Organisation

Nachdem Sie Repositorys identifiziert haben, die diesen Kriterien entsprechen, bestimmen Sie die Größe Ihres Pilotprojekts. Die richtige Pilotgröße gleicht das Sammeln ausreichenden Feedbacks ab, um eine Überlastung des Teams zu vermeiden.

OrganisationsgrößeAnzahl von RepositorysEmpfehlungen
          **Klein** (unter 100 Entwicklern) | 3-5 Repositorys | Beginnen Sie mit Ihren wichtigsten Projekten. |

| Medium (100-500 Entwickler) | 5-10 Repositories | Wählen Sie Repositorys in den verschiedenen Teams aus, einschließlich einer Mischung aus Repositorys mit hoher Aktivität und moderater Aktivität. | | Groß (500+ Entwickler) | 10-20 Repositories | Stellen Sie eine breite Darstellung in der gesamten Organisation sicher. Betrachten Sie einen phasenweisen Ansatz mit Wellen von Repository-Ergänzungen. |

Vor dem Aktivieren des Pilotprojekts

Führen Sie diese Schritte aus, um Ihr Pilotprojekt erfolgreich einzurichten.

  • Bestätigen Sie, dass Repositorybesitzer der Teilnahme zustimmen. Unwillige Teams geben negatives Feedback ab, das nicht die tatsächlichen Probleme des Produkts widerspiegelt.
  • Identifizieren Sie Experten innerhalb jedes Pilotteams. Champions beantworten Fragen und sorgen für einen kontinuierlichen Feedbackfluss.
  • Dokumentieren Sie Basis-Metriken wie Commit-Häufigkeit und Anzahl der Mitwirkenden. Diese Basispläne helfen Ihnen, die Auswirkungen des Pilotprojekts zu messen.

Weiterführende Lektüre

  •         [Identifizieren von Repositorys für geheimen Schutz](https://support.github.com/product-guides/github-advanced-security-secret-protection/get-started/identify-repositories-for-secret-protection) in den GitHub Advanced Security-Produkthandbüchern