Cet article fait partie d’une série sur l’adoption de GitHub Advanced Security à grande échelle. Pour l’article précédent de cette série, consultez « Phase 2 : Préparation à l’activation à grande échelle ».
À propos des programmes pilotes
Nous vous recommandons d’identifier quelques projets ou équipes à impact élevé convenant à un déploiement pilote de GHAS. Cela permet à un groupe initial au sein de l’entreprise de se familiariser avec GHAS, et de créer une base solide pour GHAS avant de procéder à son déploiement dans le reste de l’entreprise.
Les étapes de cette phase vous aideront à activer GHAS dans votre entreprise, à commencer à utiliser ses fonctionnalités et à analyser les résultats. Si vous utilisez GitHub Professional Services, vous pouvez bénéficier d’une assistance supplémentaire via ce processus avec des sessions d’intégration, des ateliers GHAS et la résolution des problèmes, selon les besoins.
Avant de lancer vos projets pilotes, nous vous recommandons de planifier des réunions pour vos équipes, par exemple une réunion initiale, une analyse à mi-chemin et une session de clôture à la fin du pilote. Ces réunions vous aideront à apporter tous les ajustements nécessaires et à vous assurer que vos équipes sont préparées et en mesure de mener à bien le pilote.
Si vous n’avez pas déjà activé GHAS pour votre instance GitHub Enterprise Server, consultez « Activation de GitHub Advanced Security pour votre entreprise ».
Vous devez activer GHAS pour chaque projet pilote en activant la fonctionnalité GHAS pour chaque dépôt ou pour tous les dépôts au sein des organisations prenant part au pilote. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » ou « Gestion des paramètres de sécurité et d’analyse pour votre organisation »
Pilotage de l’code scanning
Pour activer l’code scanning dans votre instance GitHub Enterprise Server, consultez « Configuration de l’analyse du code pour votre appliance ».
Vous pouvez exécuter l’analyse du code sur un dépôt en créant un workflow GitHub Actions pour exécuter l’action CodeQL.
Pour plus d’informations sur GitHub Actions, consultez :
- « Découvrir GitHub Actions »
- « Comprendre GitHub Actions »
- « Événements qui déclenchent des flux de travail »
- « Workflow syntax for GitHub Actions »
Nous vous recommandons d’activer l’code scanning dépôt par dépôt dans le cadre de votre programme pilote. Pour plus d’informations, consultez « Définition de l’analyse du code ».
Si vous souhaitez activer l’analyse du code pour un grand nombre de dépôts, vous pouvez scripter le processus.
Pour voir un exemple de script qui ouvre des demandes de tirage (pull requests) en vue d’ajouter un workflow GitHub Actions à plusieurs dépôts, consultez le dépôt jhutchings1/Create-ActionsPRs pour obtenir un exemple utilisant PowerShell, ou nickliffen/ghas-enablement pour les équipes qui n’ont pas PowerShell et qui souhaitent utiliser NodeJS.
Quand vous exécutez des analyses de code initiales, vous pouvez constater qu’aucun résultat n’est trouvé ou qu’un nombre de résultats retournés est inhabituel. Vous pouvez ajuster ce qui sera marqué dans les futures analyses. Pour plus d’informations, consultez « Personnalisation de l’analyse du code ».
Si votre entreprise souhaite utiliser d’autres outils d’analyse de code tiers avec l’analyse du code GitHub, vous pouvez utiliser des actions pour exécuter ces outils dans GitHub. Vous pouvez aussi charger les résultats générés par des outils tiers sous forme de fichiers SARIF à des fins d’analyse du code. Pour plus d’informations, consultez « Intégration à l’analyse du code ».
Pilotage de l’secret scanning
GitHub analyse les types de secrets connus dans les dépôts pour éviter une utilisation frauduleuse des secrets commités accidentellement.
Pour activer l’analyse des secrets pour votre instance GitHub Enterprise Server , consultez « Configuration de l’analyse de secrets pour votre appliance ».
Vous devez activer l’analyse des secrets pour chaque projet pilote en activant la fonctionnalité pour chaque dépôt ou pour tous les dépôts au sein des organisations prenant part au projet. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » ou « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».
Si vous avez rassemblé des modèles personnalisés propres à votre entreprise, en particulier des modèles liés aux projets pilotant l’secret scanning, vous pouvez les configurer. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ».
Pour savoir comment consulter et fermer les alertes pour les secrets archivés dans votre dépôt, consultez « Gestion des alertes à partir de l’analyse des secrets ».
Pour l’article suivant de cette série, consultez « Phase 4 : Créer une documentation interne ».