Antes de habilitar GitHub Advanced Security toda la organización, ejecute un piloto para validar la solución con un pequeño conjunto de repositorios. Un piloto le ayuda a refinar la estrategia de implementación, identificar los ajustes de flujo de trabajo y demostrar el valor de seguridad a las partes interesadas. Este artículo le ayudará a elegir los mejores repositorios para el piloto.
Una prueba piloto correcta requiere la selección de repositorio estratégico. Los repositorios que elija determinan la rapidez con la que puede demostrar valor, recopilar comentarios accionables y prepararse para la adopción de toda la organización.
Criterios de selección
Una prueba piloto correcta requiere la selección de repositorio estratégico. Los repositorios que elija determinan la rapidez con la que puede demostrar valor, recopilar comentarios accionables y prepararse para la adopción de toda la organización.
Al elegir repositorios, tenga en cuenta los siguientes criterios.
Desarrollo activo y involucración en equipo
El piloto necesita repositorios que generen comentarios puntuales sobre cómo Advanced Security encajan en el trabajo de desarrollo diario.
- Seleccione repositorios con confirmaciones periódicas y solicitudes de incorporación de cambios. Los repositorios activos generan comentarios rápidamente y muestran cómo Advanced Security encajan en flujos de trabajo de desarrollo reales.
- Elija los equipos que se involucrarán con el piloto. Los mantenedores con capacidad de respuesta identificarán los ajustes de flujo de trabajo más rápido y ayudarán a refinar la estrategia de lanzamiento.
- Use propiedades de repositorio para identificar sistemáticamente repositorios por equipo, importancia u otros atributos personalizados. Consulte Administración de propiedades personalizadas para repositorios de la organización.
Exposición de secretos conocidos
Elija repositorios sospechosos que contengan secretos basados en incidentes anteriores o revisiones de seguridad. Estos repositorios son candidatos piloto ideales porque permiten validar rápidamente la eficacia de la herramienta.
Dé prioridad a los repositorios con credenciales de producción, configuraciones de infraestructura o integraciones con servicios críticos. Estos objetivos de alto valor demuestran el valor de seguridad de Advanced Security.
Diversidad técnica
Su piloto debe validar que Advanced Security funciona con sus lenguajes de programación y herramientas.
- Incluir repositorios con diferentes lenguajes de programación y marcos de trabajo. Esto valida la cobertura de Advanced Security en todo su código.
- Seleccione repositorios con canalizaciones de CI/CD para identificar posibles impactos en la implementación al principio. Comprender estas interacciones evita sorpresas durante el lanzamiento más amplio.
Representación organizativa
Un piloto exitoso requiere el compromiso de diferentes partes de su organización.
- Elija repositorios de diferentes equipos o unidades de negocio. Diversos comentarios revelan patrones que no surgirían de la experiencia de un solo equipo.
- Incluya al menos un repositorio sobre el que se preocupa el liderazgo. La visibilidad ejecutiva mantiene el impulso piloto y facilita futuros debates presupuestarios.
Repositorios para evitar inicialmente
No todos los repositorios son buenos candidatos para una prueba piloto.
- Repositorios de baja actividad o archivados: no obtendrá comentarios de flujo de trabajo oportunos.
- Repositorios experimentales o personales: estos repositorios no reflejan patrones de producción.
- Repositorios con herramientas personalizadas complejas: los flujos de trabajo inusuales pueden complicar los comentarios.
- Repositorios críticos con tolerancia a cambios cero: es mejor agregar estos repositorios después de validar la solución.
Tamaño del piloto por organización
Una vez que haya identificado los repositorios que cumplen estos criterios, determine el tamaño de su prueba piloto. El tamaño adecuado de la prueba piloto equilibra la recopilación de comentarios suficientes con evitar la sobrecarga del equipo.
| Tamaño de la organización | Número de repositorios | Recomendaciones |
|---|---|---|
| Pequeño (menos de 100 desarrolladores) | Entre 3 y 5 repositorios | Comience con los proyectos más críticos. |
| Mediano (100-500 desarrolladores) | Repositorios de 5 a 10 | Seleccione repositorios en distintos equipos, incluida una combinación de repositorios de actividad alta y de actividad moderada. |
| Grandes (más de 500 desarrolladores) | 10-20 repositorios | Asegúrese de una representación amplia en toda la organización. Considere un enfoque por fases con oleadas de adiciones de repositorio. |
Antes de habilitar el piloto
Siga estos pasos para preparar su prueba piloto para el éxito.
- Confirme que los propietarios del repositorio están de acuerdo en participar. Los equipos no dispuestos generan comentarios negativos que no reflejan los problemas reales del producto.
- Identifique a los campeones dentro de cada equipo piloto. Los campeones responden a preguntas y aseguran un flujo constante de comentarios.
- Documente las métricas de línea de base, como la frecuencia de confirmación y el recuento de colaboradores. Estas líneas base le ayudan a medir el impacto piloto.
Lectura adicional
- Identificación de repositorios para la protección de secretos en las guías de productos de Seguridad avanzada de GitHub