Acerca del período de evaluación de GitHub Advanced Security
Puedes probar GitHub Advanced Security de forma independiente o trabajar con un experto de GitHub o una organización asociada. Los destinatarios principales de estos artículos son las personas que planificarán y ejecutarán su período de evaluación de forma independiente, normalmente organizaciones pequeñas y medianas.
Note
Aunque GitHub Advanced Security es gratis durante los períodos de evaluación, se te cobrarán los minutos de acción que uses. Es decir, los minutos de acciones usados por la configuración predeterminada de code scanning o por cualquier otro flujo de trabajo que ejecutes.
Usuarios de GitHub Enterprise Cloud existentes
Puede configurar una prueba si paga GitHub Enterprise Cloud con tarjeta de crédito o PayPal, o si ya participa en una prueba gratuita de GitHub Enterprise Cloud. Para obtener más información, consulta Configuración de una evaluación de GitHub Advanced Security.
Si pagas mediante factura, ponte en contacto con Equipo de ventas de GitHub para hablar de las pruebas de GitHub Advanced Security para la empresa.
Usuarios de otros planes de GitHub
Puedes probar GitHub Advanced Security como parte de un período de evaluación de GitHub Enterprise Cloud. Para obtener más información, consulta Configurar una prueba de la nube de GitHub Enterprise.
Cuando finaliza el período de evaluación
Puedes finalizar el período de evaluación en cualquier momento comprando GitHub Advanced Security y GitHub Enterprise si aún no lo usas, o cancelando el período de evaluación. Para obtener más información, consulta ¿Qué ocurre cuando finaliza el período de evaluación?..
Definición de los objetivos de la compañía
Antes de iniciar un período de evaluación de GitHub Advanced Security, debes definir el propósito del período de evaluación e identificar las preguntas clave que debes responder. Mantener un enfoque sólido en estos objetivos te permitirá planificar un período de evaluación que maximice la detección y garantiza que tengas la información necesaria para decidir si deseas hacer la actualización o no.
Si tu compañía ya usa GitHub, ten en cuenta las necesidades que actualmente no se cumplen que GitHub Advanced Security podría abordar. También debes tener en cuenta la posición actual de seguridad de la aplicación y los objetivos a largo plazo. Para obtener inspiración, consulta Principios de diseño para la seguridad de aplicaciones en la documentación de buena arquitectura GitHub.
| Ejemplo de necesidad | Características que se van a explorar durante el período de evaluación |
|---|---|
| Aplicación del uso de características de seguridad | Directivas y configuraciones de seguridad de nivel empresarial, consulta Acerca de las configuraciones de seguridad y Acerca de las directivas empresariales |
| Protección de tokens de acceso personalizados | Patrones personalizados para secret scanning, omisión delegada para la protección de inserción y comprobaciones de validez, consulta Exploración de la versión de prueba empresarial del análisis de secretos |
| Definición y aplicación de un proceso de desarrollo | Revisión de dependencias, reglas de evaluación automática de prioridades, conjuntos de reglas y directivas, consulta Acerca de la revisión de dependencias, Acerca de Evaluación de prioridades automática de Dependabot, Acerca de los conjuntos de reglas y Acerca de las directivas empresariales |
| Reducción de la deuda técnica a gran escala | Code scanning y campañas de seguridad, consulta Exploring your enterprise trial of code scanning |
| Supervisión y seguimiento de las tendencias en los riesgos de seguridad | Información general sobre seguridad, consulta Visualización de información de seguridad |
Si tu compañía aún no usa GitHub, es probable que tengas más preguntas, como la forma en que la plataforma controla la residencia de datos, la administración segura de cuentas y la migración del repositorio. Para más información, consulta Iniciar con GitHub Enterprise Cloud.
Identificación de los miembros del equipo de evaluación
GitHub Advanced Security te permite integrar medidas de seguridad a lo largo del ciclo de vida de desarrollo de software, por lo que es importante asegurarse de incluir representantes de todas las áreas del ciclo de desarrollo. De lo contrario, corres el riesgo de tomar una decisión sin tener todos los datos que necesitas. Un período de evaluación incluye 50 licencias que proporcionan ámbito para la representación desde una gama más amplia de personas.
También puede resultar útil identificar un experto para cada compañía que tengas que investigar.
Determinar si se necesita investigación preliminar
Si los miembros del equipo de evaluación aún no han usado las características principales de GitHub Advanced Security, puede resultar útil agregar una fase de experimentación en repositorios públicos antes de iniciar un período de evaluación. Muchas de las características principales de code scanning y secret scanning se pueden usar en repositorios públicos. Tener una buena comprensión de las características principales te permitirá centrar el período de evaluación en repositorios privados y explorar las características adicionales y el control disponibles con GitHub Advanced Security.
Para más información, consulta Acerca del examen de código, Acerca de la seguridad de la cadena de suministro y Acerca del examen de secretos.
Aceptación de las organizaciones y repositorios para probar
Por lo general, es mejor usar una organización existente para un período de evaluación. Esto garantiza que puedas probar las características en repositorios que conoces bien y que representan con precisión tu entorno de codificación. Una vez que empieces el período de evaluación, puedes crear más organizaciones con código de prueba para explorar con mayor profundidad.
Ten en cuenta que las aplicaciones deliberadamente no seguras, como WebGoat, pueden contener patrones de codificación que parecen no seguros, pero que code scanning determina que no se pueden explotar. Code scanning normalmente genera menos resultados para bases de código artificialmente no seguras que otros escáneres de seguridad de aplicaciones estáticos.
Definición de los criterios para el período de evaluación
Para cada necesidad o meta que identifique tu compañía, determina qué criterios medirás para determinar si se cumplen correctamente o no. Por ejemplo, si una necesidad es imponer el uso de características de seguridad, puedes definir una variedad de casos de prueba para configuraciones y políticas de seguridad para tener la seguridad de que impongan los procesos como esperas.