À propos de ces articles
GitHub Advanced Security (GHAS) permet aux équipes de générer un code plus sécurisé et de façon plus rapide à l’aide d’outils intégrés tels que l’analyse de secrets et l’analyse de code à l’aide de CodeQL. Pour comprendre les fonctionnalités de sécurité disponibles via GitHub Advanced Security, consultez « À propos de GitHub Advanced Security ».
GHAS est une suite d’outils qui demande une participation active des développeurs au sein de votre entreprise. Pour bénéficier du meilleur retour sur investissement, vous devez apprendre à utiliser, appliquer et maintenir GHAS.
Nous avons créé une approche de déploiement de GHAS par phases qui s’appuie sur les bonnes pratiques du secteur et de GitHub. Nous avons aidé de nombreux clients à mener à bien le déploiement de GitHub Advanced Security et nous nous attendons à ce que la plupart des clients souhaitent suivre ces phases, mais vous devrez peut-être modifier cette approche afin de répondre aux besoins de votre entreprise.
L’activation de GHAS dans une grande organisation peut être divisée en six phases principales.
-
Aligner sur votre stratégie de déploiement et vos objectifs : réfléchissez à ce à quoi le succès ressemblera, et alignez-vous sur la façon dont GHAS sera implémenté dans votre entreprise. Cette phase peut ne prendre que quelques jours ou une semaine, mais elle pose une base solide pour le reste du déploiement.
-
Préparation à l’activation à grande échelle : préparez les développeurs, collectez des données sur vos dépôts et vérifiez que vous êtes prêt pour la phase suivante.
-
Programmes pilotes : si vous le souhaitez, pilotez un déploiement initial pour quelques projets et équipes à fort impact. Cela permettra à un groupe initial au sein de l’entreprise de se familiariser avec GHAS avant de procéder à un déploiement dans le reste de l’entreprise.
-
Créer une documentation interne : créez et communiquez une documentation interne pour les consommateurs de GHAS. Si vous ne fournissez pas une documentation adéquate aux développeurs, aux ingénieurs de sécurité et à d’autres personnes qui utiliseront GHAS, la valeur sera perdue dans le déploiement.
-
Déployer et mettre à l’échelle l’code scanning : tirez parti des API disponibles, déployez automatiquement l’code scanning par équipe et par langage au sein de votre entreprise, à l’aide des données de dépôts collectées précédemment.
-
Déployer et mettre à l’échelle l’secret scanning : déployez l’secret scanning, qui implique moins de configuration et est donc plus simple à adopter que l’code scanning. Néanmoins, il est essentiel d’avoir une stratégie de gestion des résultats nouveaux et anciens.
Support GitHub et GitHub Professional Services
Si vous rencontrez des problèmes ou si vous avez des questions pendant votre implémentation, vous pouvez rechercher des solutions dans notre documentation ou contacter Support GitHub. Pour plus d’informations, consultez « À propos du support GitHub ».
Si vous préférez être guidé tout au long du processus de déploiement, Expert Services peut vous accompagner pour un déploiement et une implémentation réussie de GitHub Advanced Security. Nous offrons une variété d’options GitHub Professional Services pour obtenir des conseils et un support. Nous avons également des formations et des bootcamps à vous proposer pour aider votre entreprise à optimiser la valeur de GitHub Advanced Security.
Adressez-vous à votre représentant commercial pour plus d'informations sur toutes les options GitHub Professional Services disponibles. Pour plus d’informations, contactez l’L’équipe commerciale GitHub.
Pour le premier article de cette série, consultez « Phase 1 : Aligner sur votre stratégie de déploiement et vos objectifs ».