GitHub Advanced Security の試用について
GitHub Advanced Security は、個別に、または GitHub の専門家やパートナー organization と連携して試用することができます。 これらの記事の主な対象ユーザーは、試用を個別に計画して実行するユーザー (通常は中小規模の organization) です。
Note
GitHub Advanced Security は試用期間中は無料ですが、使ったアクションの分数に対しては課金されます。 つまり、code scanning の既定のセットアップまたは実行している他のワークフローで使われるアクションの分数が含まれます。
既存の GitHub Enterprise Cloud ユーザー
詳細については、GitHub Enterprise Cloud ドキュメントの「GitHub Advanced Security の無料試用版を設定する」を参照してください。
他の GitHub 計画のユーザー
GitHub Advanced Security は、GitHub Enterprise Cloud の試用版の一部として試用できます。 詳細については、GitHub Enterprise Cloud ドキュメントの「GitHub Enterprise Cloud のトライアルを設定する」を参照してください。
試用を終了する場合
試用は、GitHub Advanced Security、GitHub Enterprise (まだ使っていない場合) を購入するか、試用をキャンセルすることで、いつでも終了できます。 詳細については、GitHub Enterprise Cloud ドキュメントの「試用期間が終了するとどうなりますか?」を参照してください。
会社の目標を定義する
GitHub Advanced Security の試用を開始する前に、試用の目的を定義し、あなたが答える必要がある主な質問を特定する必要があります。 これらの目標に重点を置くことで、検出を最大限に高め、アップグレードするかどうかを判断するために必要な情報を確実に得られるように試用を計画することができます。
会社が既に GitHub を使っている場合は、現在満たされていないニーズのうち、GitHub Advanced Security で対応できる可能性があるものを検討してください。 現在のアプリケーションのセキュリティ態勢と長期的な目標も考慮する必要があります。 インスピレーションが必要な場合は、GitHub Well-Architected ドキュメントのアプリケーション セキュリティの設計原則のページを参照してください。
| ニーズの例 | 試用中に検討すべき機能 |
|---|---|
| セキュリティ機能の使用を適用する | Enterprise レベルのセキュリティ構成とポリシーについては、「セキュリティ構成について」と「エンタープライズ ポリシーについて」を参照してください |
| カスタム アクセス トークンを保護する | secret scanning のカスタム パターン、プッシュ保護のための委任バイパス、有効性チェックについては、「シークレット スキャンの Enterprise 試用版について確認する」を参照してください |
| 開発プロセスの定義と適用 | 依存関係のレビュー、自動トリアージ ルール、ルールセット、ポリシーについては、「依存関係の確認について」、「Dependabot 自動トリアージ ルールについて」、「ルールセットについて」、「エンタープライズ ポリシーについて」を参照してください |
| 技術的負債を大幅に削減する | Code scanning とセキュリティ キャンペーンについては、「Enterprise でのコード スキャンの試用について調べる」を参照してください |
| セキュリティ リスクの傾向の監視と追跡 | セキュリティの概要については、「セキュリティの分析情報の表示」を参照してください |
まだ GitHub を使っていない会社の場合、データ所在地、安全なアカウント管理、リポジトリの移行をプラットフォームで処理する方法など、その他の質問が生じる場合があります。 詳しくは、「GitHub Enterprise Cloud を使い始める」をご覧ください。
試用チームのメンバーを特定する
GitHub Advanced Security を使うと、ソフトウェア開発ライフ サイクル全体にセキュリティ対策を統合できるため、開発サイクルのすべての領域の担当者を確実に含めることが重要です。 そうしないと、必要なすべてのデータが揃わないまま判断を下すリスクがあります。 試用版には、より広範囲のユーザーが参加できる 50 ライセンスが含まれています。
調査したい会社の各ニーズについて、代表者を決めておくことも役立つでしょう。
予備調査が必要かどうかを判断する
試用チームのメンバーが GitHub Advanced Security のコア機能をまだ使っていない場合は、試用を開始する前にパブリック リポジトリに実験フェーズを追加すると役立つ場合があります。 code scanning と secret scanning の主な機能の多くは、パブリック リポジトリで使用できます。 コア機能をよく理解すると、試用期間をプライベート リポジトリに集中させて、GitHub Advanced Security で使用できる追加機能と制御について確認できます。
詳細については、「コード スキャンについて」、「サプライ チェーンのセキュリティについて」、「シークレット スキャンについて」を参照してください。
テストする organization とリポジトリに同意する
一般に、試用には既存の organization を使うことをお勧めします。 こうすることで、よく知っていて、コーディング環境を正確に表しているリポジトリで機能を試すことができます。 試用を開始したら、テスト コードを使って追加の organization を作成し、調査を拡張することができます。
WebGoat などの意図的に安全でないアプリケーションには、安全ではないように見えるコーディング パターンが含まれていることがありますが、それは悪用できないと code scanning によって判断されている点に注意してください。 通常、人為的に安全ではないコードベースに対して Code scanning によって生成される結果は、他の静的アプリケーション セキュリティ スキャナーよりも少なくなります。
試用版の評価条件を定義する
特定した会社のニーズや目標ごとに、達成されているかどうかを判断するための測定条件を決定します。 たとえば、セキュリティ機能の使用を徹底する必要がある場合、期待どおりにプロセスが適用されていることを確信できるように、セキュリティ構成とポリシーに関する一連のテスト ケースを定義することができます。