Note
Cet article fait partie d’une série sur l’adoption de GitHub Advanced Security à grande échelle. Pour l’article précédent de cette série, consultez Phase 2 : Préparation à l’activation à grande échelle.
À propos des programmes pilotes
Nous vous recommandons d’identifier quelques projets ou équipes à impact élevé convenant à un déploiement pilote de GHAS. Cela permet à un groupe initial au sein de l’entreprise de se familiariser avec GHAS, et de créer une base solide pour GHAS avant de procéder à son déploiement dans le reste de l’entreprise.
Les étapes de cette phase vous aideront à activer GHAS dans votre entreprise, à commencer à utiliser ses fonctionnalités et à analyser les résultats. Si vous utilisez GitHub Professional Services, vous pouvez bénéficier d’une assistance supplémentaire via ce processus avec des sessions d’intégration, des ateliers GHAS et la résolution des problèmes, selon les besoins.
Avant de lancer vos projets pilotes, nous vous recommandons de planifier des réunions pour vos équipes, par exemple une réunion initiale, une analyse à mi-chemin et une session de clôture à la fin du pilote. Ces réunions vous aideront à apporter tous les ajustements nécessaires et à vous assurer que vos équipes sont préparées et en mesure de mener à bien le pilote.
Si vous n’avez pas déjà activé GHAS pour votre instance GitHub Enterprise Server, consultez Activation de GitHub Advanced Security pour votre entreprise.
Pilotage de l’code scanning
Pour activer code scanning dans votre instance GitHub Enterprise Server, consultez Configuration de l’analyse de code pour votre appliance.
Vous pouvez exécuter code scanning sur un référentiel en créant un flux de travail GitHub Actions pour exécuter l’action CodeQL. Pour plus d’informations sur GitHub Actions, consultez :
- Écriture de workflows
- Comprendre GitHub Actions
- Événements qui déclenchent des flux de travail
- Workflow syntax for GitHub Actions
Nous vous recommandons d’activer l’code scanning dépôt par dépôt dans le cadre de votre programme pilote. Pour plus d’informations, consultez « Configuration de la configuration par défaut pour l’analyse du code ».
Si vous souhaitez activer code scanning pour un grand nombre de référentiels, vous pouvez scripter le processus.
Pour voir un exemple de script qui ouvre des demandes de tirage (pull requests) en vue d’ajouter un workflow GitHub Actions à plusieurs dépôts, consultez le dépôt jhutchings1/Create-ActionsPRs
pour obtenir un exemple utilisant PowerShell, ou nickliffen/ghas-enablement
pour les équipes qui n’ont pas PowerShell et qui souhaitent utiliser NodeJS.
Quand vous exécutez des analyses de code initiales, vous pouvez constater qu’aucun résultat n’est trouvé ou qu’un nombre de résultats retournés est inhabituel. Vous pouvez ajuster ce qui sera marqué dans les futures analyses. Pour plus d’informations, consultez « Personnalisation de votre configuration avancée pour l’analyse de code ».
Si votre société souhaite utiliser d’autres outils d’analyse de code tiers avec GitHub code scanning, vous pouvez utiliser des actions pour exécuter ces outils dans GitHub. Vous pouvez aussi charger les résultats générés par des outils tiers sous forme de fichiers SARIF pour code scanning. Pour plus d’informations, consultez « Intégration à l’analyse du code ».
Pilotage de l’secret scanning
GitHub analyse les types de secrets connus dans les référentiels pour éviter une utilisation frauduleuse des secrets validés accidentellement.
Pour activer l’analyse des secrets pour votre instance GitHub Enterprise Server, consultez Configuration de l’analyse de secrets pour votre appliance.
Vous devez activer secret scanning pour chaque projet pilote en activant la fonctionnalité pour chaque dépôt ou pour tous les référentiels au sein des organisations prenant part au projet. Pour plus d’informations, consultez Gestion des paramètres de sécurité et d’analyse pour votre dépôt ou Gestion des paramètres de sécurité et d'analyse pour votre organisation.
Ensuite, activez la protection push pour chaque projet pilote.
Si vous envisagez de configurer un lien vers une ressource dans le message qui s’affiche lorsqu’un développeur tente d’envoyer un secret bloqué, il serait judicieux de tester et de commencer à affiner les conseils que vous prévoyez de mettre à disposition.
Commencez à examiner l’activité à l’aide de la page des métriques de protection push dans la vue d’ensemble de la sécurité. Pour plus d’informations, consultez « Affichage des mesures pour la protection par poussée de l'analyse secrète ».
Si vous avez rassemblé des modèles personnalisés propres à votre entreprise, en particulier des modèles liés aux projets pilotant l’secret scanning, vous pouvez les configurer. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ».
Pour savoir comment consulter et fermer les alertes pour les secrets archivés dans votre référentiel, consultez Gestion des alertes à partir de l’analyse des secrets.
Note
Pour l’article suivant de cette série, consultez Phase 4 : Créer une documentation interne.