Planification d’un essai de GitHub Advanced Security

Profitez au maximum de votre essai afin de décider si les produits Advanced Security répondent à vos besoins.

Dans cet article

À propos de l’essai de GitHub Advanced Security

Vous pouvez tester GitHub Advanced Security de manière indépendante, ou en travaillant avec un expert de GitHub ou d'une organisation partenaire. Ces articles s'adressent principalement aux personnes qui planifient et gèrent leur essai de manière indépendante, généralement des petites et moyennes organisations.

Note

Bien que GitHub Advanced Security soit gratuit pendant les essais, vous serez facturé pour toutes les minutes d'action que vous utiliserez. C'est-à-dire les minutes d'action utilisées par la configuration par défaut code scanning ou par tout autre flux de travail que vous exécutez.

Utilisateurs existants GitHub Enterprise Cloud

Pour plus d’informations, consultez Configuration d’un essai de GitHub Advanced Security.

Utilisateurs d'autres plans GitHub

Vous pouvez tester GitHub Advanced Security dans le cadre d'un essai de GitHub Enterprise Cloud. Pour plus d'informations, voir Configuration d’un essai de GitHub Enterprise Cloud dans la documentation GitHub Enterprise Cloud.

À la fin du procès

Si vous n’utilisez pas déjà GitHub Team ou GitHub Enterprise, vous devrez mettre à niveau votre plan pour continuer à utiliser GitHub Secret Protection or GitHub Code Security dans les référentiels privés une fois l’essai terminé.

GitHub Secret Protection and GitHub Code Security sont facturés en fonction de l’utilisation de committers uniques aux référentiels avec Secret Protection or Code Security activé. Pour plus d’informations, consultez « À propos de la facturation pour GitHub Advanced Security ».

Définir les objectifs de l'entreprise

Avant de commencer un essai, vous devez définir l’objectif de l’essai et identifier les questions clés auxquelles vous devez répondre. En vous concentrant sur ces objectifs, vous pourrez planifier un procès qui maximisera la découverte et vous permettra de disposer des informations nécessaires pour décider d'un éventuel reclassement.

Si votre entreprise utilise déjà GitHub, réfléchissez aux besoins non satisfaits auxquels Secret Protection or Code Security pourrait répondre. Vous devez également tenir compte de votre position actuelle en matière de sécurité des applications et de vos objectifs à long terme. Pour vous inspirer, consultez les principes de conception de la sécurité des applications dans la documentation GitHub bien architecturée.

Exemple de besoinFonctionnalités à explorer pendant l'essai
Renforcer l'utilisation des dispositifs de sécuritéConfigurations et politiques de sécurité au niveau de l'entreprise, voir À propos des configurations de sécurité et À propos des stratégies d’entreprise
Protéger les jetons d'accès personnalisésModèles personnalisés pour secret scanning, contournement délégué pour la protection push, et contrôles de validité, voir Exploration de votre essai d'entreprise de GitHub Secret Protection
Définir et appliquer un processus de développementExamen des dépendances, règles de tri automatique, ensembles de règles et politiques, voir À propos de la vérification des dépendances, À propos des règles de triage automatique de Dependabot, À propos des ensembles de règles, et À propos des stratégies d’entreprise
Réduire la dette technique à grande échelleCode scanning et les campagnes de sécurité, voir Exploration de l'essai de numérisation de codes dans votre entreprise
Surveiller et suivre les tendances des risques de sécuritéVue d’ensemble de la sécurité, consultez Affichage des insights de sécurité

Si votre entreprise n'utilise pas encore GitHub, vous aurez probablement des questions supplémentaires, notamment sur la manière dont la plateforme gère la résidence des données, la gestion sécurisée des comptes et la migration des référentiels. Pour plus d’informations, consultez « Bien démarrer avec GitHub Enterprise Cloud ».

Identifiez les membres de votre équipe de jugement

GitHub Advanced Security vous permet d'intégrer des mesures de sécurité tout au long du cycle de développement du logiciel, il est donc important de s'assurer que vous incluez des représentants de tous les domaines de votre cycle de développement. Sinon, vous risquez de prendre une décision sans disposer de toutes les données nécessaires. Un essai comprend 50 licences, ce qui permet à un large éventail de personnes d’être représentées.

Vous pouvez également trouver utile d’identifier un champion pour chaque entreprise dont vous souhaitez enquêter.

Déterminez si des recherches préliminaires sont nécessaires

Si les membres de votre équipe d’essai n’ont pas encore utilisé les fonctionnalités de base de GitHub Advanced Security, il peut être utile d’ajouter une phase d'expérimentation dans les référentiels publics avant de commencer un essai. De nombreuses fonctionnalités de code scanning et de secret scanning peuvent être utilisées sur les référentiels publics. Une bonne compréhension des fonctionnalités de base vous permettra de concentrer votre essai sur les référentiels privés et d’explorer les fonctionnalités et contrôles supplémentaires disponibles avec Secret Protection and Code Security.

Pour plus d’informations, consultez À propos de l’analyse des secrets, À propos de l’analyse du code et À propos de la sécurité de la chaîne d’approvisionnement.

Les organisations sur GitHub Team et GitHub Enterprise peuvent exécuter un rapport gratuit pour analyser le code de leur organisation afin de détecter les fuites de secrets. Cela peut vous aider à comprendre l’exposition actuelle des référentiels de votre organisation aux fuites de secrets, ainsi qu’à voir combien de fuites de secrets existantes auraient pu être évitées par Secret Protection. Consultez À propos de l’évaluation des risques liés aux secrets.

Convenir des organisations et des référentiels à tester

En général, il est préférable d'utiliser une organisation existante pour un essai. Vous pouvez ainsi tester les fonctionnalités dans des référentiels que vous connaissez bien et qui représentent fidèlement votre environnement de codage. Une fois que vous aurez commencé l'essai, vous voudrez peut-être créer d'autres organisations avec un code de test afin d'étendre vos explorations.

Sachez que les applications délibérément non sécurisées, telles que WebGoat, peuvent contenir des schémas de codage qui semblent non sécurisés, mais qui, selon code scanning, ne peuvent pas être exploités. Code scanning génère généralement moins de résultats pour les bases de code artificiellement peu sûres que d'autres analyseurs statiques de sécurité des applications.

Définir les critères d'évaluation de l'essai

Pour chaque besoin ou objectif de l'entreprise que vous identifiez, déterminez les critères que vous mesurerez pour déterminer s'il est satisfait ou non. Par exemple, si l'un des besoins est d'imposer l'utilisation d'éléments de sécurité, vous pouvez définir une série de cas de test pour les configurations et les politiques de sécurité afin de vous assurer qu'elles appliquent les processus comme vous l'attendez.

Étapes suivantes

  1. Configuration d’un essai de GitHub Enterprise Cloud
  2. Activation des fonctions de sécurité dans votre entreprise pilote
  3. Exploration de votre essai d'entreprise de GitHub Secret Protection
  4. Exploration de l'essai de numérisation de codes dans votre entreprise