Подходит ли для вас самостоятельная пробная версия?
Эта статья предназначена для организаций, которые хотят начать эксперимент GitHub Advanced Security самостоятельно, без помощи эксперта или партнёра. Как правило, это означает, что вы небольшая или средняя организация.
Эта статья поможет вам подготовиться **** к самообслуживающему испытанию GitHub Advanced Security. Пробная версия самообслуживания подходит для вас, если оба из следующих вариантов верны:
- Вы хотите провести пробную проверку независимо, без помощи эксперта или партнера. Как правило, это лучше подходит для небольших или средних организаций.
- Вы — уже GitHub Enterprise Cloud существующий клиент, который оплачивает кредитной картой или PayPal.
В противном случае обратитесь за помощью к пробной версии.
- Если вам нужна помощь эксперта: обратитесь к нашей команде.
- При оплате по счету: обратитесь к представителю по продажам.
1. Определение целей организации
Перед началом пробной версии необходимо определить назначение пробной версии и определить ключевые вопросы, которые необходимо ответить. Поддержание строгого фокуса на этих целях позволит вам запланировать пробную версию, которая максимизирует обнаружение и гарантирует, что у вас есть информация, необходимая для принятия решения о том, следует ли обновить.
Если ваша компания уже использует, GitHubподумайте, какие потребности пока не удовлетворены и Secret Protection or Code Security которые могут их удовлетворить. Вы также должны рассмотреть текущую строю безопасности приложений и долгосрочные цели. Для вдохновения см. раздел «Принципы проектирования безопасности приложений » в хорошо продуманной GitHub документации.
| Пример необходимости | Функции для изучения во время пробной версии |
|---|---|
| Принудительное использование функций безопасности | Конфигурации и политики безопасности корпоративного уровня. См. [раздел AUTOTITLE и Сведения о включении функций безопасности в масштабе](/admin/enforcing-policies/enforcing-policies-for-your-enterprise/about-enterprise-policies) |
| Защита пользовательских маркеров доступа | Индивидуальные шаблоны для secret scanning, делегированный обход для защиты от push и проверки действительности. См. раздел AUTOTITLE |
| Определение и применение процесса разработки | Проверка зависимостей, правила автоматической сортировки, наборы правил и политики. См. раздел AUTOTITLE, AUTOTITLE[, AUTOTITLE и Сведения о наборе правил](/admin/enforcing-policies/enforcing-policies-for-your-enterprise/about-enterprise-policies) |
| Сокращение технического долга в масштабе | Кампании по безопасности. См. О кампаниях безопасности в GitHub Enterprise Cloud документации. |
| Мониторинг и отслеживание тенденций в рисках безопасности | Общие сведения о безопасности. См. раздел AUTOTITLE |
Если ваша компания ещё не пользуется, GitHub у вас, скорее всего, возникнут дополнительные вопросы, включая то, как платформа управляет предоставлением данных, безопасным управлением аккаунтами и миграцией репозиторий. Дополнительные сведения см. в разделе Начало работы с GitHub Enterprise Cloud.
2. Определение членов пробной команды
GitHub Advanced Security позволяет интегрировать меры безопасности на протяжении всего жизненного цикла разработки программного обеспечения, поэтому важно включить представителей из всех этапов разработки. В противном случае вы рискуете принять решение без наличия всех необходимых данных. Пробная версия включает в себя 50 лицензий, которые предоставляют область представления от широкого спектра людей.
Вы также можете найти полезно определить чемпиона для каждой компании, необходимой для изучения.
3. Определение необходимости предварительного исследования
Определите, будет ли ваша команда воспользоваться практическим опытом работы с нашими функциями бесплатной безопасности перед началом пробной версии. Тестирование сканирования кода и секретного сканирования на публичных репозиториях может помочь новым пользователям познакомиться с основными функциями GitHub Advanced Security. Это позволит сосредоточить пробный период на приватных репозиториях и продвинутых функциях и управлениях, доступных в Secret Protection and Code Security.
Дополнительные сведения можно найти здесь
- Включение проверки секретов для репозитория
- Настройка настройки по умолчанию для сканирования кода
- Включение графа зависимостей
Организации могут GitHub TeamGitHub Enterprise запускать бесплатный отчёт для сканирования кода на предмет утечки секретов. Это помогает оценить текущее воздействие ваших репозиториев к утечкам секретов и показывает, сколько существующих секретных утечек можно было предотвратить с Secret Protectionпомощью . См. О секретной безопасности с GitHub.
4. Определите, какие организации и репозитории необходимо протестировать
Как правило, рекомендуется начать пробную версию с существующей **** организацией. Это гарантирует, что функции в репозиториях хорошо известны и в знакомых средах программирования.
Если вы хотите, можно добавить тестовые организации или код позже. Однако помните, что намеренно небезопасные приложения, такие как WebGoat, не являются лучшим тестом. Они могут содержать шаблоны кодирования, которые кажутся небезопасными, но которые code scanning не могут быть использованы. В результате code scanning могут сообщать о меньшем числе проблем в этих искусственных кодовых базах, чем в других сканерах безопасности.
5. Определите критерии оценки для пробной версии
Для каждой компании, необходимой или цели, заданной для пробной версии, определите, как вы будете измерять успех. Например, если вы хотите применить функции безопасности, создайте тестовые варианты для конфигураций и политик безопасности, чтобы убедиться, что они работают должным образом.
6. Запуск пробной версии
Если вы уже пользуетесь GitHub Enterprise Cloud (как платный клиент или в рамках бесплатного пробного периода), см. AUTOTITLE.
В противном случае вы можете GitHub Advanced Security пройти испытание в рамках пробного процесса GitHub Enterprise Cloud. См. Настройка пробной версии GitHub Enterprise Cloud.
Примечание.
GitHub Advanced Security бесплатна во время пробных периодов, но с вас будет взиматься плата за любые минуты Actions, используемые для сканирования кода или других рабочих процессов.