Dieser Artikel ist Teil einer Reihe zur Einführung von GitHub Advanced Security nach Maß. Den vorherigen Artikel dieser Reihe findest du unter Phase 3: Pilotprogramme.
Ehe du GitHub Advanced Security aktivierst, solltest du interne Dokumentation erstellen, in der die Prozesse beschrieben sind, die die Teams befolgen sollen. Jeder muss wissen, was zu tun ist, wenn er eine Sicherheitswarnung erhält, auch wenn der Prozess das Team nur auffordert, sein eigenes Urteilsvermögen heranzuziehen. Die Dokumentation verhindert auch, dass Entwickler blockiert werden, sobald sie Fragen haben. Du solltest die Dokumentation zu GHAS zusammen mit der vorhandenen, für Entwickler bestimmten Dokumentation in dein Entwicklerportal oder deine benutzerdefinierte Wissensdatenbank aufnehmen.
Wenn du Pilotprogramme durchgeführt hast, nutze die Erfahrungen und das Feedback der an diesen Pilotprojekten beteiligten Teams für deine Dokumentation. Dies ist besonders nützlich, wenn du auf Probleme gestoßen bist, die speziell für dein Unternehmen gelten und auf die wahrscheinlich auch andere Teams stoßen werden.
Wenn du es versäumst, interne Dokumentation zu erstellen, wird dein Rollout nicht im von dir gewünschten Tempo verlaufen. Die Erstellung interner Dokumentation kann den anfänglichen Rollout um ein oder zwei Wochen verzögern, aber diese Zeit wird wieder aufgeholt, wenn die Entwickler ihre Fragen selbst beantworten können, anstatt sich an dein Team zu wenden.
Die Schulung ist wahrscheinlich der wichtigste Teil des Rollouts, da sie den Entwicklern vermittelt, was in verschiedenen Situationen zu tun ist. Du solltest sicherstellen, dass die Entwickler in der Lage sind, die Sicherheit ihres Repositorys zu gewährleisten, und dass das Sicherheitsteam befugt ist, sowohl zu überprüfen, was Entwickler tun, als auch, ob es im besten Interesse im Hinblick auf Sicherheit ist. Zusätzlich zur internen Dokumentation kann die Schulung in Form von Onlinesitzungen, Q&As, usw. erfolgen.
Den nächsten Artikel in dieser Reihe findest du unter Phase 5: Rollout und Skalierung der Codeüberprüfung.