Ist eine Self-Service-Testversion für dich geeignet?
Dieser Artikel richtet sich an Organisationen, die eine Testversion von GitHub Advanced Security ohne die Hilfe von Experten oder Partnern starten möchten. In der Regel handelt es sich dabei um kleine oder mittlere Organisationen.
Dieser Artikel unterstützt die Planung einer Self-Service-Testversion von GitHub Advanced Security. Eine Self-Service-Testversion ist in den folgenden beiden Fällen für dich geeignet:
- Du möchtest deine Testversion unabhängig und ohne die Hilfe von Experten oder Partnern durchführen. In der Regel funktioniert das am besten für kleine oder mittlere Organisationen.
- Du bist bereits GitHub Enterprise Cloud-Kunde, der per Kreditkarte oder PayPal bezahlt.
Wende dich andernfalls an uns, um Hilfe bei deiner Testversion zu erhalten.
- Wenn du Hilfe von Experten benötigst: Wende dich an unser Team.
- Wenn du per Rechnung bezahlst: Wende dich an deinen Vertriebsmitarbeiter.
1. Definieren der Unternehmensziele
Bevor du eine Testversion startest, solltest du den Zweck der Testversion definieren und die wichtigsten Fragen festlegen, für die du eine Antwort benötigst. Einen starken Fokus auf diese Ziele beizubehalten, ermöglicht es, eine Testversion zu planen, die die Ermittlung maximiert und sicherstellt, dass du über die erforderlichen Informationen verfügst, um zu entscheiden, ob ein Upgrade durchgeführt werden soll.
Wenn dein Unternehmen bereits GitHub verwendet, solltest du überlegen, welche Anforderungen derzeit nicht erfüllt werden, die Advanced Security erfüllen könnte. Du solltest auch den aktuellen Anwendungssicherheitsstatus und langfristige Ziele berücksichtigen. Inspiration findest du in der GitHub-Dokumentation unter Entwurfsprinzipien für Anwendungssicherheit.
| Beispielbedarf | Features, die während der Testversion auszuprobieren sind |
|---|---|
| Erzwingen der Verwendung von Sicherheitsfeatures | Sicherheitskonfigurationen und -richtlinien auf Unternehmensebene. Weitere Informationen findest du unter Informationen zu Sicherheitskonfigurationen und Informationen zu Unternehmensrichtlinien. |
| Schützen von benutzerdefinierten Zugriffstoken | Benutzerdefinierte Muster für secret scanning, delegierte Umgehung für Pushschutz und Gültigkeitsprüfungen. Weitere Informationen findest du unter Erkunden deiner Enterprise-Testversion von GitHub Secret Protection. |
| Definieren und Erzwingen eines Entwicklungsprozesses | Abhängigkeitsüberprüfung, Regeln für die automatische Selektierung, Regelsätze und Richtlinien. Weitere Informationen findest du unter Informationen zur Abhängigkeitsüberprüfung, Über Auto-Triage-Regeln von Dependabot, Informationen zu Regelsätzen und Informationen zu Unternehmensrichtlinien. |
| Verringerung der technischen Schulden im großen Stil | Code scanning und Sicherheitskampagnen. Weitere Informationen findest du unter Erkunden deiner Unternehmenstestversion von GitHub Code Security. |
| Überwachen und Nachverfolgen von Trends bei Sicherheitsrisiken | Sicherheitsübersicht. Weitere Informationen findest du unter Einblicke in die Sicherheit anzeigen. |
Wenn dein Unternehmen GitHub noch nicht verwendet, hast du wahrscheinlich zusätzliche Fragen, z. B. wie die Plattform die Datenhaltung verarbeitet, zur sicheren Kontoverwaltung und zur Repositorymigration. Weitere Informationen finden Sie unter Erste Schritte mit GitHub Enterprise Cloud.
2. Zusammenstellen der Mitglieder deines Testteams
GitHub Advanced Security ermöglicht es dir, Sicherheitsmaßnahmen in den gesamten Lebenszyklus der Softwareentwicklung zu integrieren. Daher ist es wichtig, sicherzustellen, dass Vertreter aus allen Bereichen des Entwicklungszyklus einbezogen werden. Andernfalls riskierst du, eine Entscheidung ohne alle benötigten Daten zu treffen. Eine Testversion umfasst 50 Lizenzen, wodurch eine Vielzahl an Personen repräsentiert werden kann.
Möglicherweise ist es auch hilfreich, einen Experten für jede Unternehmensanforderung zu ermitteln, den du untersuchen möchtest.
3. Ermitteln, ob vorbereitende Forschung erforderlich ist
Entscheide vor dem Begin der Testversion, ob dein Team von praktischen Erfahrungen mit unseren kostenlosen Sicherheitsfeatures profitieren würde. Durch das Testen von Code-Scan und der Geheimnisüberprüfung in öffentlichen Repositorys können neue Benutzer sich mit den Kernfunktionen von GitHub Advanced Security vertraut machen. Dadurch kannst du den Testzeitraum auf private Repositorys und die erweiterten Features und Steuerungen konzentrieren, die in Advanced Security verfügbar sind.
Weitere Informationen finden Sie unter:
- Aktivieren der Überprüfung auf geheime Schlüssel für Ihr Repository
- Konfigurieren des Standardsetups für das Codescanning
- Konfigurieren des Abhängigkeitsdiagramms
4. Festlegen der Tests für Organisationen und Repositorys
Es empfiehlt sich im Allgemeinen, die Testversion mit einer vorhandenen Organisation zu starten. Dadurch wird sichergestellt, dass du die Features in vertrauten Repositorys und einer vertrauten Programmierumgebung testen kannst.
Bei Bedarf kannst du Testorganisationen oder Code später hinzufügen. Beachte jedoch, dass absichtlich unsichere Anwendungen wie WebGoat nicht für Tests geeignet sind. Sie können Programmiermuster enthalten, die unsicher erscheinen, für die code scanning jedoch feststellt, dass sie nicht ausgenutzt werden können. Daher kann code scanning weniger Probleme in diesen künstlichen Codebasen melden als weitere Sicherheitsscanner.
5. Definieren der Bewertungskriterien für die Testversion
Entscheide für jedes Unternehmen, das du für die Testversion festgelegt hast, wie du den Erfolg messen möchtest. Wenn du beispielsweise die Verwendung von Sicherheitsfeatures erzwingen möchtest, erstelle Testfälle für Sicherheitskonfigurationen und -richtlinien, um zu überprüfen, dass diese wie erwartet funktionieren.
6. Starten der Testversion
Wenn du bereits GitHub Enterprise Cloud verwendest (als zahlender Kunde oder im Rahmen einer kostenlosen Testversion), findest du weitere Informationen unter Einrichten einer Testversion von GitHub Advanced Security.
Andernfalls kannst du GitHub Advanced Security als Teil einer GitHub Enterprise Cloud-Testversion testen. Weitere Informationen findest du unter Eine Testversion von GitHub Enterprise einrichten.
Hinweis
GitHub Advanced Security ist während Testversionen kostenlos. Dir werden jedoch alle Aktionen in Minuten in Rechnung gestellt, die von Code-Scan oder weiteren Workflows verwendet werden.