Avant d’activer GitHub Advanced Security l’ensemble de l’organisation, exécutez un pilote pour valider la solution avec un petit ensemble de référentiels. Un pilote vous aide à affiner votre stratégie de déploiement, à identifier les ajustements de flux de travail et à illustrer la valeur de sécurité pour les parties prenantes. Cet article vous aidera à choisir les meilleurs dépôts pour votre pilote.
Un pilote réussi nécessite une sélection de référentiels stratégiques. Les référentiels que vous choisissez déterminent la rapidité à laquelle vous pouvez illustrer la valeur, recueillir des commentaires exploitables et préparer l’adoption à l’échelle de l’organisation.
Critères de sélection
Un pilote réussi nécessite une sélection de référentiels stratégiques. Les référentiels que vous choisissez déterminent la rapidité à laquelle vous pouvez illustrer la valeur, recueillir des commentaires exploitables et préparer l’adoption à l’échelle de l’organisation.
Lorsque vous choisissez des référentiels, tenez compte des critères suivants.
Développement actif et engagement de l’équipe
Votre pilote a besoin de référentiels qui génèrent des commentaires en temps opportun sur la façon dont Advanced Security il s’inscrit dans le travail de développement quotidien.
- Sélectionnez des dépôts avec des validations régulières et des pull requests. Les référentiels actifs génèrent rapidement des commentaires et montrent comment Advanced Security s’intègrent dans des flux de travail de développement réels.
- Choisissez les équipes qui s’engageront avec le pilote. Les gestionnaires de maintenance réactifs identifient les ajustements de flux de travail plus rapidement et aident à affiner votre stratégie de déploiement.
-
**Utilisez des propriétés de référentiel** pour identifier systématiquement les référentiels par équipe, critique ou d’autres attributs personnalisés. Consultez « [AUTOTITLE](/organizations/managing-organization-settings/managing-custom-properties-for-repositories-in-your-organization) ».
Révélation connue de secrets
Choisissez les référentiels que vous suspectez contiennent des secrets en fonction des incidents passés ou des révisions de sécurité. Ces référentiels sont des candidats pilotes idéaux, car ils vous permettent de valider rapidement l’efficacité de l’outil.
Prioriser les dépôts avec des identifiants de production, des configurations d’infrastructure ou des intégrations avec des services critiques. Ces cibles à valeur élevée illustrent la valeur de sécurité de Advanced Security.
Diversité technique
Votre programme pilote doit vérifier que Advanced Security fonctionne avec vos langages et outils de programmation.
- Incluez des référentiels utilisant différents langages de programmation et frameworks. Cela valide la Advanced Security couverture dans votre base de code.
- Sélectionnez des référentiels avec des pipelines CI/CD pour identifier les impacts potentiels du déploiement au début. La compréhension de ces interactions empêche les surprises lors du déploiement plus large.
Représentation organisationnelle
Un pilote réussi nécessite l'adhésion de différentes parties prenantes de votre organisation.
- Choisissez des dépôts parmi différentes équipes ou unités commerciales. Divers commentaires révèlent des modèles qui ne ressortraient pas de l’expérience d’une seule équipe.
- Incluez au moins un dépôt sur lequel le leadership s’intéresse. La visibilité de la direction maintient l’élan pilote et facilite les discussions budgétaires futures.
Référentiels à éviter initialement
Tous les dépôts ne sont pas de bons candidats pour un pilote.
-
**Dépôts à faible activité ou archivés** : vous n’obtiendrez pas de commentaires de flux de travail en temps opportun. -
**Référentiels expérimentaux ou personnels** : ces référentiels ne reflètent pas les modèles de production. -
**Référentiels avec outils personnalisés complexes** : les flux de travail inhabituels peuvent compliquer les commentaires. -
**Référentiels stratégiques avec tolérance de modification zéro** : il est préférable d’ajouter ces référentiels _après_ avoir validé la solution.
Taille du projet pilote par organisation
Une fois que vous avez identifié des dépôts qui répondent à ces critères, déterminez la taille de votre programme pilote. La taille appropriée d'un projet pilote équilibre la collecte de suffisamment de commentaires tout en évitant de surcharger l’équipe.
| Taille de l’organisation | Nombre de référentiels | Recommandations |
|---|
**Petite** (moins de 100 développeurs) | 3 à 5 référentiels | Commencez par vos projets les plus critiques. |
| Moyen (100 à 500 développeurs) | 5 à 10 référentiels | Sélectionnez des référentiels entre différentes équipes, y compris un mélange de référentiels à activité élevée et d’activité modérée. | | Grand (plus de 500 développeurs) | 10 à 20 référentiels | Garantir une représentation étendue au sein de l’organisation. Envisagez une approche par phases avec des vagues d’ajouts de référentiel. |
Avant d’activer votre pilote
Procédez comme suit pour préparer votre projet pilote à réussir.
- Confirmez que les propriétaires du référentiel acceptent de participer. Les équipes réticentes génèrent des commentaires négatifs qui ne reflètent pas les problèmes de produit réels.
- Identifiez les champions au sein de chaque équipe pilote. Les champions répondent aux questions et assurent la circulation des retours d'informations.
- Documentez les métriques de référence telles que la fréquence de validation et le nombre de contributeurs. Ces lignes de base vous aident à mesurer l’impact pilote.
Lectures complémentaires
-
[Identifier les référentiels pour la protection des secrets](https://support.github.com/product-guides/github-advanced-security-secret-protection/get-started/identify-repositories-for-secret-protection) dans les guides de produit GitHub Advanced Security