Note
Este artículo forma parte de una serie sobre la adopción de GitHub Advanced Security a escala. Para obtener el artículo anterior de esta serie, consulta Fase 2: Prepararse para la habilitación a escala.
Acerca de los programas piloto
Te recomendamos que identifiques algunos proyectos o equipos de alto impacto para usarlos en un lanzamiento piloto de la GHAS. Esto permitirá que un grupo inicial dentro de la empresa se familiarice con la GHAS y cree bases sólidas para la GHAS antes de lanzarla en el resto de la empresa.
Los pasos de esta fase te ayudarán a habilitar la GHAS en tu empresa, comenzar a utilizar sus características y revisar tus resultados. Si estás trabajando con los GitHub Professional Services, estos pueden proporcionarte ayuda adicional en este proceso mediante sesiones de integración, talleres de GHAS y solución de problemas, conforme lo requieras.
Antes de que comiences tus proyectos piloto, te recomendamos que programes algunas reuniones para tus equipos, como una reunión inicial, una revisión de punto medio y una sesión de conclusión cuando se complete el piloto. Estas reuniones te ayudarán a realizar los ajustes conforme sean necesarios y garantizar así que tus equipos están listos y cuentan con el apoyo para completar el piloto con éxito.
Si aún no has habilitado GHAS para la instancia de GitHub Enterprise Server, consulta Habilitación de GitHub Advanced Security para su empresa.
Prueba piloto de code scanning
Para habilitar code scanning en la instancia de GitHub Enterprise Server, consulta Configuración la digitalización de código para el dispositivo.
Puede ejecutar code scanning en un repositorio mediante la creación de un flujo de trabajo de GitHub Actions para ejecutar la acción CodeQL. Para obtener más información sobre las GitHub Actions, consulta las siguientes secciones:
- Escritura de flujos de trabajo
- Entender las GitHub Actions
- Eventos que desencadenan flujos de trabajo
- Sintaxis del flujo de trabajo para Acciones de GitHub
Se recomienda habilitar code scanning repositorio por repositorio como parte del programa piloto. Para más información, consulta Establecimiento de la configuración avanzada para el examen del código.
Si quiere habilitar code scanning para muchos repositorios, es posible que desee hacer un script del proceso.
Para obtener un ejemplo de script que abre solicitudes de incorporación de cambios para agregar un flujo de trabajo de GitHub Actions a varios repositorios, vea el repositorio jhutchings1/Create-ActionsPRs
para obtener un ejemplo mediante PowerShell, o bien nickliffen/ghas-enablement
para equipos que no tienen PowerShell y, en su lugar, quieren usar NodeJS.
Cuando ejecutas los escaneos de código iniciales, podrías no encontrar resultados o que se te devuelva una cantidad inusual de ellos. Es posible que quieras ajustar qué se debe resaltar en los escaneos futuros. Para más información, consulta Personalización de la configuración avanzada para el examen de código.
Si su empresa quiere usar otras herramientas de análisis de código de terceros con GitHub code scanning, puede usar acciones para ejecutar esas herramientas en GitHub. Como alternativa, puede cargar los resultados, que las herramientas de terceros generan como archivos SARIF, en code scanning. Para más información, consulta Integrarse con el escaneo de código.
Prueba piloto de secret scanning
GitHub escanea repositorios para encontrar tipos conocidos de secretos para prevenir el uso fraudulento de aquellos que se confirmaron por accidente.
Para habilitar el examen de secretos para la instancia de GitHub Enterprise Server, consulta Configurar el escaneo de secretos para tu aplicativo.
Necesitas habilitar secret scanning para cada proyecto piloto, ya sea habilitando la característica para cada repositorio o para todos los repositorios en cualquier organización que participe en el proyecto. Para más información, consulta Administración de la configuración de seguridad y análisis para el repositorio o Administrar la configuración de seguridad y análisis de su organización.
A continuación, habilita la protección de inserción para cada proyecto piloto.
Si tienes previsto configurar un vínculo a un recurso en el mensaje que se muestra cuando un desarrollador intenta insertar un secreto bloqueado, ahora sería un buen momento para probar y empezar a mejorar las instrucciones que tienes previsto poner a disposición.
Si has intercalado patrones personalizados específicos de tu empresa, especialmente en relación con los proyectos de la prueba piloto de secret scanning, puedes configurarlos. Para más información, consulta Definición de patrones personalizados para el examen de secretos.
Para información sobre cómo ver y cerrar alertas de secretos insertados en el repositorio, consulta Administración de alertas del examen de secretos.
Note
Para ver el siguiente artículo de esta serie, consulta Fase 4: Creación de documentación interna.