¿Es una prueba de autoservicio adecuada para ti?
Este artículo está destinado a organizaciones que desean iniciar una prueba de GitHub Advanced Security de forma independiente, sin la ayuda de un experto o asociado. Normalmente, eso significa que eres una organización pequeña o mediana.
Este artículo te ayuda a planear una prueba de autoservicio de GitHub Advanced Security. Una prueba de autoservicio es adecuada si se cumplen las dos condiciones siguientes:
- Quieres realizar la prueba de forma independiente, sin la ayuda de un experto o asociado. Normalmente, esto funciona mejor para organizaciones pequeñas o medianas.
- Eres un cliente existente de GitHub Enterprise Cloud que paga con tarjeta de crédito o PayPal.
De lo contrario, ponte en contacto con nosotros para obtener ayuda con tu versión de prueba.
- Si deseas ayuda de un experto: ponte en contacto con nuestro equipo.
- Si pagas con factura: ponte en contacto con tu representante de ventas.
1. Definición de los objetivos de la compañía
Antes de iniciar una prueba, debes definir el propósito de la prueba e identificar las preguntas clave que debes responder. Mantener un enfoque sólido en estos objetivos te permitirá planificar un período de evaluación que maximice la detección y garantiza que tengas la información necesaria para decidir si deseas hacer la actualización o no.
Si tu empresa ya usa GitHub, ten en cuenta las necesidades que actualmente no se cumplen que Secret Protection or Code Security podría abordar. También debes tener en cuenta la posición actual de seguridad de la aplicación y los objetivos a largo plazo. Para obtener inspiración, consulta Principios de diseño para la seguridad de aplicaciones en la documentación de buena arquitectura GitHub.
| Ejemplo de necesidad | Características que se van a explorar durante el período de evaluación |
|---|---|
| Aplicación del uso de características de seguridad | Directivas y configuraciones de seguridad de nivel empresarial. Consulta Acerca de las configuraciones de seguridad y Acerca de las directivas empresariales |
| Protección de tokens de acceso personalizados | Patrones personalizados para secret scanning, omisión delegada para la protección de inserción y comprobaciones de validez. Consulta Exploración de la versión de prueba empresarial de GitHub Secret Protection |
| Definición y aplicación de un proceso de desarrollo | Revisión de dependencias, reglas de evaluación automática de prioridades, conjuntos de reglas y directivas. Consulta Acerca de la revisión de dependencias, Acerca de Evaluación de prioridades automática de Dependabot, Acerca de los conjuntos de reglas y Acerca de las directivas empresariales |
| Reducción de la deuda técnica a gran escala | Code scanning y campañas de seguridad. Consulta Exploración de la versión de prueba empresarial de GitHub Code Security |
| Supervisión y seguimiento de las tendencias en los riesgos de seguridad | Introducción a la seguridad. Consulta Visualización de información de seguridad |
Si tu compañía aún no usa GitHub, es probable que tengas más preguntas, como la forma en que la plataforma controla la residencia de datos, la administración segura de cuentas y la migración del repositorio. Para más información, consulta Iniciar con GitHub Enterprise Cloud.
2. Identificación de los miembros del equipo de evaluación
GitHub Advanced Security te permite integrar medidas de seguridad a lo largo del ciclo de vida de desarrollo de software, por lo que es importante asegurarse de incluir representantes de todas las áreas del ciclo de desarrollo. De lo contrario, corres el riesgo de tomar una decisión sin tener todos los datos que necesitas. Una evaluación incluye 50 licencias que proporcionan ámbito para la representación desde una gama más amplia de personas.
También puede resultar útil identificar un experto para cada compañía que tengas que investigar.
3. Determinar si se necesita investigación preliminar
Decide si tu equipo se beneficiaría de la experiencia práctica con nuestras características de seguridad gratuitas antes de comenzar la prueba. Probar el análisis de código y el análisis de secretos en repositorios públicos puede ayudar a los nuevos usuarios a familiarizarse con las características principales de GitHub Advanced Security. Esto te permitirá centrar el período de prueba en repositorios privados y en las características y controles avanzados disponibles en Secret Protection and Code Security.
Para más información, vea:
- Habilitación del examen de secretos para el repositorio
- Establecimiento de la configuración predeterminada para el examen del código
- Configuración del gráfico de dependencias
Las organizaciones en GitHub Team y GitHub Enterprise pueden ejecutar un informe gratuito para examinar el código para detectar secretos filtrados. Esto te ayuda a evaluar la exposición actual de los repositorios a secretos filtrados y muestra cuántas filtraciones de secretos existentes podrían haberse evitado con Secret Protection. Consulta Acerca de la evaluación de riesgos de secretos.
4. Decidir qué organizaciones y repositorios probar
Por lo general, es mejor iniciar la prueba con una organización existente. Esto garantiza que puedes experimentar las características de los repositorios que conoces bien y dentro de un entorno de codificación conocido.
Si lo deseas, puedes agregar código u organizaciones de prueba más adelante. Sin embargo, ten en cuenta que las aplicaciones deliberadamente inseguras, como WebGoat, no son la mejor prueba. Pueden contener patrones de codificación que parecen no seguros, pero que code scanning determina que no se pueden explotar. Como resultado, code scanning pueden notificar menos problemas en estos códigos base artificiales que otros escáneres de seguridad.
5. Definición de los criterios para el período de evaluación
Para cada necesidad u objetivo de la empresa que establezcas para la prueba, decide cómo medirás el éxito. Por ejemplo, si quieres aplicar el uso de características de seguridad, crea casos de prueba para las directivas y configuraciones de seguridad para confirmar que funcionan según lo previsto.
6. Iniciar la versión de prueba
Si ya usas GitHub Enterprise Cloud (como cliente de pago o como parte de una evaluación gratuita), consulta Configuración de una evaluación de GitHub Advanced Security.
De lo contrario, puedes probar GitHub Advanced Security como parte de una evaluación de GitHub Enterprise Cloud. Consulta Configurar una prueba de la nube de GitHub Enterprise en la documentación de GitHub Enterprise Cloud.
Nota:
GitHub Advanced Security es gratuito durante las pruebas, pero se te cobrarán los minutos de Acciones que use el análisis de código o cualquier otro flujo de trabajo.