GitHub Advanced Security の試用版について
GitHub Advanced Security を個別に試用するか、GitHub の専門家やパートナー organization と連携して試用することができます。 これらの記事の主な対象ユーザーは、試用を個別に計画して実行するユーザー (通常は中小規模の organization) です。
Note
GitHub Advanced Security は試用期間中は無料ですが、使ったアクション分数については課金されます。 つまり、code scanning の既定のセットアップまたは実行している他のワークフローで使われるアクションの分数が含まれます。
既存の GitHub Enterprise Cloud ユーザー
詳しくは、「GitHub Advanced Security の試用版の設定」を参照してください。
他の GitHub 計画のユーザー
GitHub Advanced Security は、GitHub Enterprise Cloud の試用版の一部として試用できます。 詳細については、GitHub Enterprise Cloud ドキュメントの「GitHub Enterprise Cloud のトライアルを設定する」を参照してください。
試用を終了する場合
GitHub Team または GitHub Enterprise をまだ使用していない場合は、試用が終了した時点でプライベート リポジトリで GitHub Secret Protection or GitHub Code Security を引き続き使用するためにプランをアップグレードする必要があります。
GitHub Secret Protection and GitHub Code Security は、Secret Protection or Code Security を有効化したリポジトリに対する一意のコミッターの使用に基づき請求されます。 詳しくは、「GitHub Advanced Security の課金について」をご覧ください。
会社の目標を定義する
試用を始める前に、試用の目的を定義し、答えが必要な主な質問を特定しておくことをお勧めします。 これらの目標に重点を置くことで、検出を最大限に高め、アップグレードするかどうかを判断するために必要な情報を確実に得られるように試用を計画することができます。
自社が既に GitHub を使っている場合は、現在満たされていないニーズのうち、Secret Protection or Code Security で対応できる可能性があるものを検討してください。 現在のアプリケーションのセキュリティ態勢と長期的な目標も考慮する必要があります。 インスピレーションが必要な場合は、GitHub Well-Architected ドキュメントのアプリケーション セキュリティの設計原則のページを参照してください。
| ニーズの例 | 試用中に検討すべき機能 |
|---|---|
| セキュリティ機能の使用を適用する | Enterprise レベルのセキュリティ構成とポリシーについては、「セキュリティ構成について」と「エンタープライズ ポリシーについて」を参照してください |
| カスタム アクセス トークンを保護する | secret scanning のカスタム パターン、プッシュ保護のための委任バイパス、有効性チェックについては、「GitHub Secret Protection の Enterprise 試用版の探索」を参照してください |
| 開発プロセスの定義と適用 | 依存関係のレビュー、自動トリアージ ルール、ルールセット、ポリシーについては、「依存関係の確認について」、「Dependabot 自動トリアージ ルールについて」、「ルールセットについて」、「エンタープライズ ポリシーについて」を参照してください |
| 技術的負債を大幅に削減する | Code scanning とセキュリティ キャンペーンについては、「GitHub Code Security の Enterprise 試用版について」を参照してください |
| セキュリティ リスクの傾向の監視と追跡 | セキュリティの概要については、「セキュリティの分析情報の表示」を参照してください |
まだ GitHub を使っていない会社の場合、データ所在地、安全なアカウント管理、リポジトリの移行をプラットフォームで処理する方法など、その他の質問が生じる場合があります。 詳しくは、「GitHub Enterprise Cloud を使い始める」をご覧ください。
試用チームのメンバーを特定する
GitHub Advanced Security を使うと、ソフトウェア開発ライフ サイクル全体にセキュリティ対策を統合できるため、開発サイクルのすべての領域の担当者を確実に含めることが重要です。 そうしないと、必要なすべてのデータが揃わないまま判断を下すリスクがあります。 試用版には、より広範囲のユーザーが参加できる 50 ライセンスが含まれています。
調査したい会社の各ニーズについて、代表者を決めておくことも役立つでしょう。
予備調査が必要かどうかを判断する
試用チームのメンバーが GitHub Advanced Security のコア機能をまだ使っていない場合は、試用を始める前にパブリック リポジトリに実験フェーズを追加すると役立つ場合があります。 code scanning と secret scanning の主な機能の多くは、パブリック リポジトリで使用できます。 コア機能をよく理解すると、試用期間中にプライベート リポジトリに注力し、Secret Protection and Code Security で使用できる追加機能と制御について確認できます。
詳細については、「シークレット スキャンについて」、「コード スキャンについて」、「サプライ チェーンのセキュリティについて」を参照してください。
GitHub Team と GitHub Enterprise を使用する organization は無料のレポートを実行して、organization 内のコードをスキャンし漏洩した秘密を検出できます。 これにより、organization 内のリポジトリにおける秘密漏洩に関する現在の状態を把握できるだけでなく、Secret Protection によって防止できた可能性がある既存の秘密漏洩の数を確認できます。 「シークレット リスク評価について」を参照してください。
テストする organization とリポジトリに同意する
一般に、試用には既存の organization を使うことをお勧めします。 こうすることで、よく知っていて、コーディング環境を正確に表しているリポジトリで機能を試すことができます。 試用を開始したら、テスト コードを使って追加の organization を作成し、調査を拡張することができます。
WebGoat などの意図的に安全でないアプリケーションには、安全ではないように見えるコーディング パターンが含まれていることがありますが、それは悪用できないと code scanning によって判断されている点に注意してください。 通常、人為的に安全ではないコードベースに対して Code scanning によって生成される結果は、他の静的アプリケーション セキュリティ スキャナーよりも少なくなります。
試用版の評価条件を定義する
特定した会社のニーズや目標ごとに、達成されているかどうかを判断するための測定条件を決定します。 たとえば、セキュリティ機能の使用を徹底する必要がある場合、期待どおりにプロセスが適用されていることを確信できるように、セキュリティ構成とポリシーに関する一連のテスト ケースを定義することができます。