Dieser Artikel ist Teil einer Reihe zur Einführung von GitHub Advanced Security nach Maß. Den vorherigen Artikel dieser Reihe findest du unter Phase 2: Vorbereiten auf das Aktivieren im großen Stil.
Informationen zu Pilotprogrammen
Wir empfehlen dir, einige besonders relevante Projekte oder Teams für einen Pilotrollout von GHAS zu bestimmen. So kann sich eine erste Gruppe innerhalb deines Unternehmens mit GHAS vertraut machen und eine solide Grundlage für GHAS schaffen, ehe du den Rollout auf den Rest deines Unternehmens ausweitest.
Mit den Schritten in dieser Phase kannst du GHAS in deinem Unternehmen aktivieren, mit der Nutzung seiner Features beginnen und deine Ergebnisse überprüfen. Wenn du mit GitHub Professional Services arbeitest, können sie durch diesen Prozess zusätzliche Unterstützung durch Onboarding-Sitzungen, GHAS-Workshops und Problembehandlung bei Bedarf bereitstellen.
Bevor du mit deinen Pilotprojekten beginnst, empfehlen wir, einige Besprechungen mit deinen Teams zu planen, z. B. eine erste Besprechung, eine Überprüfung zur Projekthalbzeit und eine Abschlusssitzung, wenn der Pilot abgeschlossen ist. Diese Besprechungen helfen allen, bei Bedarf Anpassungen vorzunehmen und sicherzustellen, dass deine Teams vorbereitet sind und unterstützt werden, um den Piloten erfolgreich abzuschließen.
Du musst GHAS für jedes Pilotprojekt aktivieren, entweder durch Aktivieren des GHAS-Features für jedes Repository oder für alle Repositorys in allen Organisationen, die an dem Pilotprojekt teilnehmen. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository oder Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.
Pilotprojekt für code scanning
Du kannst Codeüberprüfungen für ein Repository durchführen, indem du einen GitHub Actions-Workflow zum Ausführen der CodeQL-Aktion erstellst. Code scanning verwendet standardmäßig von GitHub gehostete Runner. Dies kann jedoch angepasst werden, wenn du planst, deinen eigenen Runner mit eigenen Hardwarespezifikationen zu hosten. Weitere Informationen findest du unter Deinen eigenen Runner hosten.
Weitere Informationen zu GitHub Actions findest du unter:
- Informationen zu GitHub Actions
- Grundlegendes zu GitHub Actions
- Ereignisse zum Auslösen von Workflows
- Workflowsyntax für GitHub Actions
Wir empfehlen, code scanning im Rahmen deines Pilotprogramms für alle einzelnen Repositorys zu aktivieren. Weitere Informationen findest du unter Konfigurieren der Codeüberprüfung für ein Repository.
Wenn du die Codeüberprüfung für viele Repositorys aktivieren möchtest, solltest du ein Skript für den Prozess schreiben.
Ein Beispiel für ein Skript, das Pull Requests öffnet, um einen GitHub Actions-Workflow zu mehreren Repositorys hinzuzufügen, findest du im jhutchings1/Create-ActionsPRs
-Repository für ein Beispiel mit PowerShell oder nickliffen/ghas-enablement
für Teams, die keine PowerShell haben und stattdessen NodeJS verwenden möchten.
Beim Ausführen der ersten Codeüberprüfungen kannst du feststellen, dass keine Ergebnisse gefunden werden oder dass eine ungewöhnliche Anzahl von Ergebnissen zurückgegeben wird. Es kann ratsam sein, das anzupassen, was in zukünftigen Überprüfungen gekennzeichnet wird. Weitere Informationen findest du unter Anpassen der Codeüberprüfung.
Wenn dein Unternehmen andere Tools für die Codeanalyse von Drittanbietern mit der GitHub-Codeüberprüfung verwenden möchte, kannst du Aktionen verwenden, um diese Tools innerhalb von GitHub auszuführen. Alternativ kannst du Ergebnisse, die von Drittanbietertools als SARIF-Dateien generiert werden, in die Codeüberprüfung hochladen. Weitere Informationen findest du unter Integrieren der Codeüberprüfung.
Durchführen eines Pilotprojekts für secret scanning
GitHub durchsucht Repositorys nach bekannten Geheimnistypen, um die betrügerische Verwendung von Geheimnissen zu verhindern, die versehentlich committet wurden.
Du musst die Überprüfung von Geheimnissen für jedes Pilotprojekt aktivieren, entweder durch Aktivieren des Features für jedes Repository oder für alle Repositorys in allen Organisationen, die an dem Projekt teilnehmen. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository oder Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.
Wenn du benutzerdefinierte Muster für dein Unternehmen gesammelt hast, insbesondere solche, die mit den Pilotprojekten für secret scanning zusammenhängen, kannst du diese konfigurieren. Weitere Informationen findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.
Informationen zum Anzeigen und Schließen von Warnungen für Geheimnisse, die in deinem Repository eingecheckt sind, findest du unter Verwalten von Warnungen aus der Geheimnisüberprüfung.
Den nächsten Artikel in dieser Reihe findest du unter Phase 4: Erstellen interner Dokumentation.