Uma avaliação de autoatendimento é ideal para você?
Este artigo destina-se a organizações que desejam iniciar uma avaliação do GitHub Advanced Security de maneira independente, sem a ajuda de um especialista ou parceiro. Normalmente, isso significa que sua organização é de pequeno ou médio porte.
Este artigo ajuda você a planejar uma avaliação de autoatendimento do GitHub Advanced Security. Uma avaliação de autoatendimento será ideal para você se ambos os itens a seguir forem verdadeiros:
- Você deseja realizar sua avaliação de forma independente, sem a ajuda de um especialista ou parceiro. Normalmente, isso funciona melhor para organizações de pequeno ou médio porte.
- Você já é um cliente do GitHub Enterprise Cloud que paga por cartão de crédito ou PayPal.
Caso contrário, entre em contato conosco para obter ajuda com sua avaliação.
- Se você quiser ajuda especializada: entre em contato com nossa equipe.
- Se você paga por fatura: entre em contato com seu representante de vendas.
1. Definir as metas da empresa
Antes de iniciar uma avaliação, defina a finalidade da avaliação e identifique as principais perguntas que precisa responder. Manter um foco claro nessas metas permitirá que você planeje uma avaliação que maximize descobertas e garanta que você tenha as informações necessárias para decidir se deseja ou não fazer upgrade.
Se sua empresa já usa o GitHub, considere quais necessidades não são atendidas no momento e que o Secret Protection or Code Security pode resolver. Considere também a atual postura de segurança do aplicativo e os objetivos de longo prazo. Para ter inspiração, confira Princípios de design da segurança de aplicativos na documentação sobre boa arquitetura do GitHub.
| Exemplo necessário | Recursos a explorar durante a avaliação |
|---|---|
| Impor o uso de recursos de segurança | Configurações e políticas de segurança de nível empresarial. Confira Sobre as configurações de segurança e Sobre as políticas empresariais |
| Proteger tokens de acesso personalizados | Padrões personalizados para secret scanning, bypass delegado para proteção por push e verificações de validade. Confira Explorando a avaliação empresarial da GitHub Secret Protection |
| Definir e impor um processo de desenvolvimento | Revisão de dependência, regras de triagem automática, conjuntos de regras e políticas. Confira Sobre a análise de dependência, Sobre as regras de triagem automática do Dependabot, Sobre os conjuntos de regras e Sobre as políticas empresariais |
| Reduzir a dívida técnica em escala | Code scanning e campanhas de segurança. Confira Explorar a avaliação empresarial da GitHub Code Security |
| Monitorar e acompanhar tendências em riscos de segurança | Visão geral de segurança. Confira Exibir insights de segurança |
Se sua empresa ainda não usa o GitHub, provavelmente você tem perguntas adicionais, incluindo como a plataforma lida com residência de dados, gerenciamento seguro de conta e migração de repositório. Para saber mais, confira Introdução ao GitHub Enterprise Cloud.
2. Identificar os membros da equipe de avaliação
O GitHub Advanced Security permite que você integre medidas de segurança ao longo do ciclo de vida de desenvolvimento de software, portanto, é importante garantir a inclusão de representantes de todas as áreas do ciclo de desenvolvimento. Caso contrário, você corre o risco de tomar uma decisão sem ter todos os dados necessários. Uma avaliação inclui 50 licenças, o que fornece escopo para representação de uma gama ampla de pessoas.
Você também pode achar útil identificar um campeão para cada necessidade da empresa que você deseja investigar.
3. Determinar se uma pesquisa preliminar é necessária
Decida se sua equipe se beneficiará da experiência prática com nossos recursos de segurança gratuitos antes de começar sua avaliação. Testar a digitalização de código e a verificação de segredo em repositórios públicos pode ajudar novos usuários a se familiarizarem com os principais recursos do GitHub Advanced Security. Isso permitirá que você concentre seu período de avaliação em repositórios privados e nos recursos e controles avançados disponíveis no Secret Protection and Code Security.
Para saber mais, veja:
- Habilitando a varredura de segredos para seu repositório
- Como definir a configuração padrão da verificação de código
- Configurando o grafo de dependência
Organizações no GitHub Team e no GitHub Enterprise podem executar um relatório gratuito para verificar o código em busca de segredos vazados. Isso ajuda você a avaliar a exposição atual de seus repositórios a segredos vazados e mostra quantos vazamentos de segredo existentes podem ter sido impedidos pelo Secret Protection. Confira Sobre a avaliação de risco de segredo.
4. Decidir quais organizações e repositórios testar
Geralmente, é melhor iniciar a avaliação com uma organização existente. Isso garante que você possa experimentar os recursos em repositórios que você conhece bem e dentro de um ambiente de codificação familiar.
Se quiser, você poderá adicionar organizações de teste ou código mais tarde. No entanto, lembre-se de que aplicativos deliberadamente inseguros, como o WebGoat, não são o melhor teste. Eles podem conter padrões de codificação que parecem não ser seguros, mas que o code scanning determina que não podem ser explorados. Como resultado, o code scanning pode relatar menos problemas nessas bases de código artificial do que outros verificadores de segurança.
5. Definir os critérios de avaliação para a avaliação
Para cada necessidade ou meta da empresa definida para a avaliação, decida como você medirá o sucesso. Por exemplo, se você quiser impor o uso de recursos de segurança, crie casos de teste para configurações de segurança e políticas para confirmar se elas funcionam conforme o esperado.
6. Iniciar sua avaliação
Se você já usa o GitHub Enterprise Cloud (como um cliente pagante ou como parte de uma avaliação gratuita), consulte Como configurar uma avaliação gratuita do GitHub Advanced Security.
Caso contrário, você pode avaliar o GitHub Advanced Security como parte de uma avaliação do GitHub Enterprise Cloud. Consulte Configurar uma versão de avaliação do GitHub Enterprise Cloud na documentação do GitHub Enterprise Cloud.
Observação
O GitHub Advanced Security é gratuito durante as avaliações, mas você será cobrado pelos minutos de Ações usados pela digitalização de código ou por outros fluxos de trabalho.