Лучшие практики выбора пилотных репозиториев

Правильные пилотные репозитории быстро демонстрируют ценность и готовят вашу организацию к более широкому внедрению GitHub Advanced Security.

В этой статье

Перед включением GitHub Advanced Security всей организации запустите пилотный проект для проверки решения с помощью небольшого набора репозиториев. Пилотный проект помогает отточить стратегию внедрения, выявить корректировки рабочих процессов и продемонстрировать ценность безопасности заинтересованным сторонам. Эта статья поможет вам выбрать лучшие репозитории для вашего пилота.

Успешный пилот требует стратегического выбора репозитория. Выбираемые вами репозитории определяют, насколько быстро вы сможете продемонстрировать ценность, собрать практическую обратную связь и подготовиться к внедрению на уровне всей организации.

Критерии выбора

Успешный пилот требует стратегического выбора репозитория. Выбираемые вами репозитории определяют, насколько быстро вы сможете продемонстрировать ценность, собрать практическую обратную связь и подготовиться к внедрению на уровне всей организации.

При выборе репозиториев учитывайте следующие критерии.

Активное развитие и вовлечённость команды

Вашему пилотному проекту нужны репозитории, которые своевременно дают обратную связь о том, как Advanced Security он вписывается в ежедневную работу разработки.

  • Выбирайте репозитории с обычными коммитами и pull requests. Активные репозитории быстро генерируют обратную связь и показывают, как Advanced Security это вписывается в реальные рабочие процессы разработки.
  •         **Выбирайте команды**, которые будут взаимодействовать с пилотом. Адаптивные сопровождающие быстрее выявят корректировки рабочих процессов и помогут уточнить вашу стратегию внедрения.

  •         **Используйте свойства репозитория** для систематического определения репозиториев по команде, критическому уровню или другим пользовательским атрибутам. См [. раздел AUTOTITLE](/organizations/managing-organization-settings/managing-custom-properties-for-repositories-in-your-organization).

Известное секретное раскрытие

Выбирайте хранилища, которые, как вы подозреваете, содержат секреты, основываясь на прошлых инцидентах или проверках безопасности. Эти репозитории идеально подходят для пилотных проектов, так как позволяют быстро проверить эффективность инструмента.

Отдавайте приоритет репозиториям с производственными учетными данными, конфигурациями инфраструктуры или интеграциями с критически важными сервисами. Эти ценные цели демонстрируют безопасность Advanced Security.

Техническое разнообразие

Ваш пилот должен подтвердить, что Advanced Security это работает с вашими языками программирования и инструментами.

  • Включайте репозитории с использованием различных языков программирования и фреймворков. Это подтверждает Advanced Security покрытие по всей вашей кодовой базе.
  • Выбирайте репозитории с конвейерами CI/CD для раннего выявления возможных последствий развертывания. Понимание этих взаимодействий предотвращает сюрпризы при более широком внедрении.

Организационное представительство

Успешный пилотный проект требует поддержки различных частей вашей организации.

  • Выбирайте репозитории от разных команд или бизнес-единиц. Разнообразная обратная связь выявляет закономерности, которые не возникают в опыте одной команды.
  • Включите хотя бы один репозиторий, который важен для руководства. Видимость руководителей поддерживает импульс пилота и способствует будущим обсуждениям бюджета.

Репозитории, которых стоит избегать изначально

Не все репозитории подходят для пилотов.

  •         **Репозитории с низкой активностью или архивы**: вы не получите своевременную обратную связь по рабочим процессам.

  •         **Экспериментальные или личные репозитории**: эти репозитории не отражают производственные шаблоны.

  •         **Репозитории со сложными кастомными инструментами**: необычные рабочие процессы могут усложнять обратную связь.

  •         **Критически важные репозитории с нулевой терпимостью к изменениям**: лучше добавить _такие репозитории после_ проверки решения.

Размер пилота по организации

После того как вы определили репозитории, соответствующие этим критериям, определите размер вашего пилота. Правильный размер пилота балансирует сбор достаточной обратной связи с избеганием перегрузки команды.

Размер организацииЧисло репозиториевРекомендации
          **Небольшие** (менее 100 разработчиков) | 3-5 репозиториев | Начните с самых важных проектов. |

| Medium (100-500 разработчиков) | 5-10 репозиториев. | Выбирайте репозитории разных команд, включая смесь репозиториев с высокой и средней активностью. | | Крупные (500+ разработчиков) | 10-20 репозиториев. | Обеспечьте широкое представительство по всей организации. Рассмотрим поэтапный подход с волнами дополнений репозиториев. |

Прежде чем включить пилота

Выполните эти шаги, чтобы подготовить вашего пилота к успеху.

  • Подтвердите, что владельцы репозиториев согласны участвовать. Нежелающие команды создают негативную обратную связь, которая не отражает реальные проблемы с продуктом.
  • Определите чемпионов внутри каждой пилотной команды. Чемпионы отвечают на вопросы и поддерживают обратную связь.
  • Документируйте базовые метрики, такие как частота коммитов и количество участников. Эти базовые показатели помогают измерять влияние пилота.

Дополнительные материалы

  •         [Определите репозитории для защиты секретов](https://support.github.com/product-guides/github-advanced-security-secret-protection/get-started/identify-repositories-for-secret-protection) в руководствах по продуктам GitHub Advanced Security