Skip to main content

大規模な GitHub Advanced Security の導入の概要

業界と GitHub のベスト プラクティスに従って、企業で GitHub Advanced Security を大規模に導入できます。

これらの記事について

GitHub Advanced Security (GHAS) は、CodeQL を使用したシークレット スキャンやコード スキャンなどの統合ツールを使って、チームがより安全なコードをより速く構築するのに役立ちます。 GitHub Advanced Security で使用できるセキュリティ機能については、「GitHub Advanced Security について」をご覧ください。

GHAS は、Enterprise 全体の開発者の積極的な参加を必要とするツールのスイートです。 投資収益率を最大限に高めるためには、GHAS を使用、適用、維持する方法を学ぶ必要があります。

業界と GitHub のベスト プラクティスから開発された GHAS のロールアウトの段階的アプローチを作成しました。 ほとんどのお客様は、GitHub Advanced Security のデプロイが成功したお客様の経験に基づいて、これらのフェーズに従うことを望んでいると思われますが、企業のニーズを満たすためにこのアプローチを変更する必要がある場合があります。

大規模な Organization 全体での GHAS の有効化は、6 つのコア フェーズに分けることができます。

  1. ロールアウトの戦略と目標の調整: 成功はどのようになるかを考え、GHAS がどのように企業に実装されるかを調整します。 このフェーズには数日または 1 週間しかかからない場合がありますが、ロールアウトの残りの部分に対する強固な基盤が築かれます。

  2. 大規模な有効化の準備: 開発者を準備し、リポジトリに関するデータを収集し、次のフェーズの準備ができていることを確認します。

  3. パイロット プログラム: 必要に応じて、影響の大きいいくつかのプロジェクトとチームへの最初のロールアウトのパイロットを行います。 これにより、社内の最初のグループが GHAS に慣れてから、企業の残りの部分にロールアウトすることができます。

  4. 内部ドキュメントを作成する: GHAS のコンシューマー向けの内部ドキュメントを作成して伝達します。 GHAS を使用する開発者、セキュリティ エンジニア、その他のユーザーに適切なドキュメントが提供されていないと、ロールアウトで価値が失われます。

  5. code scanning のロールアウトとスケーリング: 利用可能な API を活用し、先ほど収集したリポジトリ データを使用して、チーム別および言語ごとに Enterprise 全体でcode scanning を自動的にロールアウトします。

  6. secret scanning のロールアウトとスケーリング: secret scanning をロールアウトします。これは構成が少ないため、code scanning よりも導入が簡単です。 それでも、新旧の結果を処理するための戦略を立てることが重要です。

GitHub Support と Expert Services

実装中に問題が発生した場合や、ご不明な点がある場合は、ドキュメントで解決策を検索するか、GitHub Support にお問い合わせください。 詳しくは、「GitHub Supportについて」を参照してください。

ロールアウト プロセス全体のガイダンスをご希望の場合は、GitHub Expert Services が、お客様と協力して GitHub Advanced Security のロールアウトと実装を成功させることができます。 ガイダンスとサポートにはさまざまなオプションを提供しています。 また、GitHub Advanced Security の価値を最適化するため、お客様の企業でご利用いただけるトレーニングや短期集中講座もご用意しています。

Expert Services で使用可能なすべてのオプションについて詳しくは、営業担当者にお問い合わせください。 詳細については、GitHub の営業チーム にお問い合わせください。

このシリーズの最初の記事については「フェーズ 1: ロールアウト戦略と目標に合わせる」を参照してください。