Dieser Artikel ist Teil einer Reihe zur Einführung von GitHub Advanced Security nach Maß. Den vorherigen Artikel dieser Reihe findest du unter Phase 2: Vorbereiten auf das Aktivieren im großen Stil.
Informationen zu Pilotprogrammen
Wir empfehlen dir, einige besonders relevante Projekte oder Teams für einen Pilotrollout von GHAS zu bestimmen. So kann sich eine erste Gruppe innerhalb deines Unternehmens mit GHAS vertraut machen und eine solide Grundlage für GHAS schaffen, ehe du den Rollout auf den Rest deines Unternehmens ausweitest.
Mit den Schritten in dieser Phase kannst du GHAS in deinem Unternehmen aktivieren, mit der Nutzung seiner Features beginnen und deine Ergebnisse überprüfen. Wenn du mit GitHub Professional Services arbeitest, können sie durch diesen Prozess zusätzliche Unterstützung durch Onboarding-Sitzungen, GHAS-Workshops und Problembehandlung bei Bedarf bereitstellen.
Bevor du mit deinen Pilotprojekten beginnst, empfehlen wir, einige Besprechungen mit deinen Teams zu planen, z. B. eine erste Besprechung, eine Überprüfung zur Projekthalbzeit und eine Abschlusssitzung, wenn der Pilot abgeschlossen ist. Diese Besprechungen helfen allen, bei Bedarf Anpassungen vorzunehmen und sicherzustellen, dass deine Teams vorbereitet sind und unterstützt werden, um den Piloten erfolgreich abzuschließen.
Pilotierung aller GitHub Advanced Security Funktionen
Mit GitHub-recommended security configuration, einer Sammlung von Sicherheitseinstellungen, die Sie auf Repositorys in einer Organisation anwenden können, können Sie Sicherheitsfunktionen schnell in großem Umfang aktivieren. Mit GitHub Advanced Security können Sie dann weitere Features auf Organisationsebene mit global settings anpassen. Weitere Informationen finden Sie unter Informationen zum Aktivieren von Sicherheitsfeatures im großen Stil.
Pilotprojekt für code scanning
Sie können das Standardsetup für code scanning schnell in mehreren Repositorys in einer Organisation mithilfe der Sicherheitsübersicht konfigurieren. Weitere Informationen findest du unter Konfigurieren des Standardsetups für das Codescanning im großen Stil.
Sie können auch code scanning für alle Repositorys in einer Organisation aktivieren. Es wird jedoch empfohlen, code scanning für eine Teilmenge von Repositorys mit großen Auswirkungen für Ihr Pilotprogramm zu konfigurieren.
Bei einigen Sprachen oder Buildsystemen müssen Sie möglicherweise stattdessen das erweiterte Setup für code scanning konfigurieren, um eine vollständige Abdeckung Ihrer Codebasis zu erhalten. Die erweiterte Einrichtung erfordert jedoch einen deutlich höheren Aufwand für die Konfiguration, Anpassung und Wartung, weshalb wir empfehlen, zunächst die Standardeinrichtung zu aktivieren.
Wenn Ihr Unternehmen andere Codeanalyse-Tools von Drittanbietern mit GitHub code scanning verwenden möchte, können Sie Aktionen verwenden, um diese Tools innerhalb von GitHub auszuführen. Alternativ kannst du Ergebnisse, die von Drittanbietertools als SARIF-Dateien generiert werden, in code scanning hochladen. Weitere Informationen findest du unter Integrieren der Codeüberprüfung.
Durchführen eines Pilotprojekts für secret scanning
GitHub überprüft Repositorys auf bekannte Geheimnistypen, um das betrügerische Verwenden von Geheimnissen zu verhindern, die aus Versehen committet wurden.
Sie müssen secret scanning und Push-Schutz für jedes Pilotprojekt aktivieren. Das können Sie über die GitHub-recommended security configuration tun, oder Sie können eine custom security configuration erstellen. Weitere Informationen finden Sie unter Anwendung der von GitHub empfohlenen Sicherheitskonfiguration in Ihrer Organisation und unter Creating a custom security configuration.
Wenn du beabsichtigst, einen Link zu einer Ressource in der Nachricht zu konfigurieren, die angezeigt wird, wenn ein Entwickler versucht, ein blockiertes Geheimnis zu pushen, wäre jetzt ein guter Zeitpunkt, um die Anleitung zu testen und zu verfeinern, die du zur Verfügung stellen willst.
Beginne mit der Überprüfung der Aktivität mithilfe der Seite "Pushschutzmetriken" in der Sicherheitsübersicht. Weitere Informationen findest du unter Anzeigen von Metriken für den Pushschutz bei der Geheimnisüberprüfung.
Wenn du benutzerdefinierte Muster für dein Unternehmen gesammelt hast, insbesondere solche, die mit den Pilotprojekten für secret scanning zusammenhängen, kannst du diese konfigurieren. Weitere Informationen findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.
Informationen zum Anzeigen und Schließen von Warnungen für Geheimnisse, die in deinem Repository eingecheckt sind, findest du unter Verwalten von Warnungen aus der Geheimnisüberprüfung.
Den nächsten Artikel in dieser Reihe findest du unter Phase 4: Erstellen interner Dokumentation.