关于试用 GitHub Advanced Security
可以独立试用 GitHub Advanced Security,也可以与 GitHub 或合作伙伴组织的专家合作试用。 这些文章的主要受众是独立规划并运行其试用版的人员,通常来自中小型组织。
-
如果你通过信用卡或 PayPal 支付 GitHub Enterprise Cloud 费用,或者已在免费试用 GitHub Enterprise Cloud,则现有 GitHub Enterprise Cloud 用户可以设置试用版,请参阅 安装 GitHub Advanced Security 试用版。
-
其他 GitHub 计划的用户可以在 GitHub Enterprise Cloud 试用过程中试用 GitHub Advanced Security,请参阅 设置 GitHub Enterprise Cloud 试用版。
注意
尽管 GitHub Advanced Security 在试用期间免费,但你需要为使用的任何操作分钟数付费。 即 code scanning 默认设置或运行的任何其他工作流使用的操作分钟数。
确定公司目标
在开始试用前,应确定试用的目的,并确定需要回答的关键问题。 保持对这些目标的强烈关注将使你能够规划可实现发现最大化的试用版,并确保获得用于决定是否升级的信息。
如果公司已使用 GitHub,请考虑 Secret Protection or Code Security 可能解决的当前无法满足的需求。 还应考虑当前的应用程序安全状况和长期目标。 要获得灵感,请参阅 GitHub 精心构建的文档中的应用程序安全性设计原则。
| 示例需求 | 试用期间要探索的功能 |
|---|---|
| 强制使用安全功能 | 企业级安全配置和策略,请参阅 关于安全配置 和 关于企业策略 |
| 保护自定义访问令牌 | secret scanning 的自定义模式、用于推送保护的委派绕过和有效性检查,请参阅 探索 GitHub Secret Protection 的企业试用 |
| 定义并强制实施开发过程 | 依赖项评审、自动会审规则、规则集和策略,请参阅 关于依赖项评审、关于 Dependabot 自动分类规则、关于规则集 和 关于企业策略 |
| 大规模减少技术债务 | Code scanning 和安全性活动,请参阅 探索 GitHub Code Security 的企业试用版 |
| 监视和跟踪安全风险趋势 | 安全概述,请参阅 查看安全见解 |
如果公司尚未使用 GitHub,则你可能还有其他疑问,包括平台如何处理数据驻留、安全帐户管理和存储库迁移。 有关详细信息,请参阅“开始使用 GitHub Enterprise Cloud”。
确定试用团队的成员
GitHub Advanced Security 使你能够在整个软件开发生命周期内集成安全措施,因此请务必确保纳入开发周期的各个方面的代表。 否则,你可能在未获得所有所需数据时做出决策。 试用版包括 50 个许可证,为来自各种人群的代表提供操作范围。
你还可能发现,确定你要调查的每个公司所需的拥护者会很有帮助。
确定是否需要初步研究
如果试用团队成员尚未使用 GitHub Advanced Security 的核心功能,则在开始试用前,在公共仓库中添加试验阶段可能很有帮助。 code scanning 和 secret scanning 的许多主要功能都可用于公共存储库。 充分了解核心功能后,你可以将试用期集中在专用仓库上,并探索 Secret Protection and Code Security 提供的其他功能和控件。
有关详细信息,请参阅“关于机密扫描”、“关于代码扫描”和“关于供应链安全性”。
商定要测试的组织和存储库
通常情况下,最好使用现有组织进行试用。 这可确保可以试用你熟悉的存储库中的功能,并准确表示编码环境。 开始试用后,可能需要使用测试代码创建其他组织以扩展探索。
请注意,有意不安全的应用程序(如 WebGoat)可能包含看似不安全的编码模式,但 code scanning 将确定无法使用这些模式。 Code scanning 为人为不安全的代码库生成的结果通常少于其他静态应用程序安全扫描程序。
定义试用的评估标准
对于确定的每项公司需求或目标,确定要度量的标准以确定是否成功达到这些需求或目标。 例如,如果一项需求是强制使用安全功能,则可以为安全配置和策略定义一系列测试用例,以确保它们按预期强制执行流程。