Skip to main content

Fase 3: Programas piloto

Puedes beneficiarte de empezar con algunos proyectos y equipos de alto impacto con los que probar un lanzamiento inicial. Esto permitirá que un grupo inicial dentro de tu compañía se familiarice con la GHAS, aprenda cómo habilitarla y configurarla y cree bases sólidas en ella antes de implementarla con el resto de tu compañía.

Este artículo forma parte de una serie sobre la adopción de GitHub Advanced Security a escala. Para ver el artículo anterior de esta serie, consulta "Fase 2: Preparación para la habilitación a escala".

Acerca de los programas piloto

Te recomendamos que identifiques algunos proyectos o equipos de alto impacto para usarlos en un lanzamiento piloto de la GHAS. Esto permitirá que un grupo inicial dentro de la empresa se familiarice con la GHAS y cree bases sólidas para la GHAS antes de lanzarla en el resto de la empresa.

Los pasos de esta fase te ayudarán a habilitar la GHAS en tu empresa, comenzar a utilizar sus características y revisar tus resultados. Si estás trabajando con los GitHub Professional Services, estos pueden proporcionarte ayuda adicional en este proceso mediante sesiones de integración, talleres de GHAS y solución de problemas, conforme lo requieras.

Antes de que comiences tus proyectos piloto, te recomendamos que programes algunas reuniones para tus equipos, como una reunión inicial, una revisión de punto medio y una sesión de conclusión cuando se complete el piloto. Estas reuniones te ayudarán a realizar los ajustes conforme sean necesarios y garantizar así que tus equipos están listos y cuentan con el apoyo para completar el piloto con éxito.

Necesitas habilitar la GHAS para cada proyecto piloto, ya sea habilitando la característica de la GHAS en cada repositorio o en todos ellos en todas las organizaciones que participen en el piloto. Para más información, vea "Administración de la configuración de seguridad y análisis del repositorio" o "Administración de la configuración de seguridad y análisis para la organización".

Prueba piloto de code scanning

Puedes ejecutar el análisis de código en un repositorio creando un flujo de trabajo de GitHub Actions para ejecutar la acción CodeQL. Code scanning usa ejecutores hospedados en GitHub de manera predeterminada, pero esto se puede personalizar si planeas hospedar tu propio ejecutor con tus propias especificaciones de hardware. Para obtener más información, consulte "Acerca de los ejecutores autohospedados."

Para obtener más información sobre las GitHub Actions, consulta las siguientes secciones:

Se recomienda habilitar code scanning repositorio por repositorio como parte del programa piloto. Para obtener más información, vea "Configuración del examen de código para un repositorio".

Si quieres habilitar el análisis de código para muchos repositorios, puede que quieras hacer un script del proceso.

Para obtener un ejemplo de script que abre solicitudes de incorporación de cambios para agregar un flujo de trabajo de GitHub Actions a varios repositorios, vea el repositorio jhutchings1/Create-ActionsPRs para obtener un ejemplo mediante PowerShell, o bien nickliffen/ghas-enablement para equipos que no tienen PowerShell y, en su lugar, quieren usar NodeJS.

Cuando ejecutas los escaneos de código iniciales, podrías no encontrar resultados o que se te devuelva una cantidad inusual de ellos. Es posible que quieras ajustar qué se debe resaltar en los escaneos futuros. Para más información, vea "Configuración del análisis de código".

Si tu compañía quiere utilizar otras herramientas de análisis de código de terceros con el escaneo de código de GitHub, puedes utilizar acciones para que ejecuten esas herramientas dentro de GitHub. Como alternativa, puedes cargar al análisis de código los resultados que se generen con las herramientas de terceros como archivos SARIF. Para obtener más información, vea "Integración con el examen de código".

Prueba piloto de secret scanning

GitHub escanea los repositorios para los tipos de secreto conocidos, para prevenir el uso fraudulento de secretos que se confirmaron por accidente.

Necesitas habilitar el escaneo de secretos para cada proyecto piloto, ya sea habilitando la característica para cada repositorio o para todos los repositorios en cualquier organización que participe en el proyecto. Para obtener más información, consulta "Administración de la configuración de seguridad y análisis del repositorio" o "Administración de la configuración de seguridad y análisis para la organización".

Si has intercalado patrones personalizados específicos de tu empresa, especialmente en relación con los proyectos de la prueba piloto de secret scanning, puedes configurarlos. Para más información, vea "Definición de patrones personalizados para el análisis de secretos".

Para obtener información sobre cómo ver y cerrar alertas de secretos insertados en el repositorio, vea "Administración de alertas del examen de secretos".

Para ver el artículo siguiente de esta serie, consulta "Fase 4: Creación de documentación interna".