Fase 3: Programas piloto

Pode ser vantajoso começar com algumas equipes e alguns projetos de alto impacto para testar uma implementação inicial. Isto permitirá que um grupo inicial da sua empresa se familiarize com o GHAS, aprenda a habilitar e configurar o GHAS e construa uma base sólida no GHAS antes de fazer a implementação no restante da sua empresa.

Neste artigo

Dica

Este artigo faz parte de uma série sobre a adoção GitHub Advanced Security em escala. Para ver o artigo anterior desta série, confira Fase 2: Preparo para a habilitação em escala.

Sobre programas piloto

Recomendamos que você identifique algumas equipes e alguns projetos de alto impacto para usar em uma distribuição piloto do GHAS. Com isso, um grupo inicial se familiariza com o GHAS e cria uma base sólida nele antes da distribuição para o restante da empresa.

Essas etapas ajudam você a habilitar o GHAS em sua empresa, começar a usar as funcionalidades dele e revisar seus resultados. Se você estiver trabalhando com GitHub Professional Serviceseles, eles poderão fornecer assistência adicional por meio desse processo por meio de sessões de integração, workshops do GHAS e solução de problemas conforme necessário.

Antes de iniciar os projetos piloto, recomendamos que você agende algumas reuniões para as equipes, como uma reunião inicial, uma revisão durante o processo e uma sessão de encerramento após a conclusão do piloto. Essas reuniões ajudarão você a fazer todos os ajustes, conforme necessário, e assegurarão que as equipes estejam preparadas e tenham o apoio necessário para concluir o piloto com sucesso.

Se você ainda não habilitou o GHAS para sua GitHub Enterprise Server instância, consulte Como habilitar produtos GitHub Advanced Security para sua empresa.

Pilotando todos os GitHub Advanced Security recursos

Você pode habilitar rapidamente os recursos de segurança em escala com um security configuration, uma coleção de configurações de habilitação de segurança que você pode aplicar a repositórios em uma organização. Você pode personalizar os recursos do Advanced Security no nível da organização com global settings. Confira Sobre a habilitação de recursos de segurança em escala.

Pilotagem code scanning

Para habilitar code scanning em sua GitHub Enterprise Server instância, consulte Como configurar a verificação de código do seu dispositivo.

Você pode configurar rapidamente a configuração padrão para code scanning vários repositórios em uma organização usando a visão geral de segurança. Para saber mais, confira Como definir a configuração padrão da verificação de código em escala.

Você também pode optar por habilitar code scanning todos os repositórios em uma organização, mas recomendamos configurar code scanning em um subconjunto de repositórios de alto impacto para seu programa piloto.

Para algumas linguagens ou sistemas de compilação, talvez seja necessário definir uma configuração avançada para a code scanning de modo a obter cobertura total da sua base de código. No entanto, a configuração avançada requer um esforço significativamente maior para configurar, personalizar e manter. Dessa forma, recomendamos habilitar a configuração padrão primeiro.

Se sua empresa quiser usar outras ferramentas de análise de código de terceiros com GitHubcode scanning, você poderá usar ações para executar essas ferramentas dentro GitHub. Como alternativa, você pode carregar resultados, que são gerados por ferramentas de terceiros como arquivos SARIF, para code scanning. Para saber mais, confira Integrar com ferramentas existentes.

Pilotagem secret scanning

          GitHub verifica repositórios para tipos conhecidos de segredos, para evitar o uso fraudulento de segredos que foram confirmados acidentalmente.

Para habilitar a verificação de segredo para sua GitHub Enterprise Server instância, consulte Configurar a varredura de segredo para o seu dispositivo.

Você precisa habilitar secret scanning e enviar proteção por push para cada projeto piloto. Você pode fazer isso com um security configuration. Para saber mais, confira Criando uma configuração de segurança personalizada.

Se você planeja configurar um link para um recurso na mensagem exibida quando um desenvolvedor tenta efetuar push de um segredo bloqueado, agora seria um bom momento para testar e começar a refinar as diretrizes que você planeja disponibilizar.

Comece a revisar a atividade usando a página de métricas de proteção por push na visão geral de segurança. Para saber mais, confira Métricas de proteção por push e verificação de segredos.

Se você tiver agrupado quaisquer padrões personalizados específicos para sua empresa, especialmente qualquer relacionado ao piloto secret scanningde projetos, você poderá configurá-los. Para saber mais, confira Definir padrões personalizados para a verificação de segredo.

Para saber como exibir e fechar alertas de segredos com check-in no seu repositório, confira Gerenciar alertas de verificação de segredo.

Dica

Para ver o próximo artigo desta série, confira Fase 4: Criar a documentação interna.