A propos de l'essai GitHub Advanced Security
Vous pouvez tester GitHub Advanced Security de manière indépendante, ou en travaillant avec un expert de GitHub ou d'une organisation partenaire. Ces articles s'adressent principalement aux personnes qui planifient et gèrent leur essai de manière indépendante, généralement des petites et moyennes organisations.
Note
Bien que GitHub Advanced Security soit gratuit pendant les essais, vous serez facturé pour toutes les minutes d'action que vous utiliserez. C'est-à-dire les minutes d'action utilisées par la configuration par défaut code scanning ou par tout autre flux de travail que vous exécutez.
Utilisateurs existants GitHub Enterprise Cloud
Pour plus d'informations, voir Configuration d’un essai de GitHub Advanced Security dans la documentation GitHub Enterprise Cloud.
Utilisateurs d'autres plans GitHub
Vous pouvez tester GitHub Advanced Security dans le cadre d'un essai de GitHub Enterprise Cloud. Pour plus d'informations, voir Configuration d’un essai de GitHub Enterprise Cloud dans la documentation GitHub Enterprise Cloud.
À la fin du procès
Vous pouvez mettre fin à votre essai à tout moment en achetant GitHub Advanced Security, et GitHub Enterprise si vous ne l'utilisez pas déjà, ou en annulant l'essai. Pour plus d'informations, voir Que se passe-t-il à la fin de la période d'essai ? dans la documentation GitHub Enterprise Cloud.
Définir les objectifs de l'entreprise
Avant de commencer un essai de GitHub Advanced Security, vous devez définir l'objectif de l'essai et identifier les questions clés auxquelles vous devez répondre. En vous concentrant sur ces objectifs, vous pourrez planifier un procès qui maximisera la découverte et vous permettra de disposer des informations nécessaires pour décider d'un éventuel reclassement.
Si votre entreprise utilise déjà GitHub, réfléchissez aux besoins non satisfaits auxquels GitHub Advanced Security pourrait répondre. Vous devez également tenir compte de votre position actuelle en matière de sécurité des applications et de vos objectifs à long terme. Pour vous inspirer, consultez les principes de conception de la sécurité des applications dans la documentation GitHub bien architecturée.
| Exemple de besoin | Fonctionnalités à explorer pendant l'essai |
|---|---|
| Renforcer l'utilisation des dispositifs de sécurité | Configurations et politiques de sécurité au niveau de l'entreprise, voir À propos des configurations de sécurité et À propos des stratégies d’entreprise |
| Protéger les jetons d'accès personnalisés | Modèles personnalisés pour secret scanning, contournement délégué pour la protection push, et contrôles de validité, voir Exploration de l'essai de numérisation secrète de votre entreprise |
| Définir et appliquer un processus de développement | Examen des dépendances, règles de tri automatique, ensembles de règles et politiques, voir À propos de la vérification des dépendances, À propos des règles de triage automatique de Dependabot, À propos des ensembles de règles, et À propos des stratégies d’entreprise |
| Réduire la dette technique à grande échelle | Code scanning et les campagnes de sécurité, voir Exploration de l'essai de numérisation de codes dans votre entreprise |
| Surveiller et suivre les tendances des risques de sécurité | Vue d’ensemble de la sécurité, consultez Affichage des insights de sécurité |
Si votre entreprise n'utilise pas encore GitHub, vous aurez probablement des questions supplémentaires, notamment sur la manière dont la plateforme gère la résidence des données, la gestion sécurisée des comptes et la migration des référentiels. Pour plus d’informations, consultez « Bien démarrer avec GitHub Enterprise Cloud ».
Identifiez les membres de votre équipe de jugement
GitHub Advanced Security vous permet d'intégrer des mesures de sécurité tout au long du cycle de développement du logiciel, il est donc important de s'assurer que vous incluez des représentants de tous les domaines de votre cycle de développement. Sinon, vous risquez de prendre une décision sans disposer de toutes les données nécessaires. Un essai comprend 50 licences, ce qui permet à un plus grand nombre de personnes de se faire représenter.
Vous pouvez également trouver utile d’identifier un champion pour chaque entreprise dont vous souhaitez enquêter.
Déterminez si des recherches préliminaires sont nécessaires
Si les membres de votre équipe d'essai n'ont pas encore utilisé les fonctionnalités de base de GitHub Advanced Security, il peut être utile d'ajouter une phase d'expérimentation dans les référentiels publics avant de commencer un essai. De nombreuses fonctionnalités de code scanning et de secret scanning peuvent être utilisées sur les référentiels publics. Une bonne compréhension des fonctionnalités de base vous permettra de concentrer votre période d'essai sur les référentiels privés et d'explorer les fonctionnalités et contrôles supplémentaires disponibles avec GitHub Advanced Security.
Pour plus d’informations, consultez À propos de l’analyse du code, À propos de la sécurité de la chaîne d’approvisionnement et À propos de l’analyse des secrets.
Convenir des organisations et des référentiels à tester
En général, il est préférable d'utiliser une organisation existante pour un essai. Vous pouvez ainsi tester les fonctionnalités dans des référentiels que vous connaissez bien et qui représentent fidèlement votre environnement de codage. Une fois que vous aurez commencé l'essai, vous voudrez peut-être créer d'autres organisations avec un code de test afin d'étendre vos explorations.
Sachez que les applications délibérément non sécurisées, telles que WebGoat, peuvent contenir des schémas de codage qui semblent non sécurisés, mais qui, selon code scanning, ne peuvent pas être exploités. Code scanning génère généralement moins de résultats pour les bases de code artificiellement peu sûres que d'autres analyseurs statiques de sécurité des applications.
Définir les critères d'évaluation de l'essai
Pour chaque besoin ou objectif de l'entreprise que vous identifiez, déterminez les critères que vous mesurerez pour déterminer s'il est satisfait ou non. Par exemple, si l'un des besoins est d'imposer l'utilisation d'éléments de sécurité, vous pouvez définir une série de cas de test pour les configurations et les politiques de sécurité afin de vous assurer qu'elles appliquent les processus comme vous l'attendez.