これらの記事について
GitHub Advanced Security (GHAS) は、CodeQL を使用したシークレット スキャンやコード スキャンなどの統合ツールを使って、チームがより安全なコードをより速く構築するのに役立ちます。 GitHub Advanced Security で使用できるセキュリティ機能については、「GitHub Advanced Security について」を参照してください。
GHAS は、Enterprise 全体の開発者の積極的な参加を必要とするツールのスイートです。 投資収益率を最大限に高めるためには、GHAS を使用、適用、維持する方法を学ぶ必要があります。
業界と GitHub のベスト プラクティスから開発された GHAS のロールアウトの段階的アプローチを作成しました。 ほとんどのお客様は、GitHub Advanced Security のデプロイが成功したお客様の経験に基づいて、これらのフェーズに従うことを望んでいると思われますが、企業のニーズを満たすためにこのアプローチを変更する必要がある場合があります。
大規模な Organization 全体での GHAS の有効化は、6 つのコア フェーズに分けることができます。
-
ロールアウトの戦略と目標の調整: 成功はどのようになるかを考え、GHAS がどのように企業に実装されるかを調整します。 このフェーズには数日または 1 週間しかかからない場合がありますが、ロールアウトの残りの部分に対する強固な基盤が築かれます。
-
大規模な有効化の準備: 開発者を準備し、リポジトリに関するデータを収集し、次のフェーズの準備ができていることを確認します。
-
パイロット プログラム: 必要に応じて、影響の大きいいくつかのプロジェクトとチームへの最初のロールアウトのパイロットを行います。 これにより、社内の最初のグループが GHAS に慣れてから、企業の残りの部分にロールアウトすることができます。
-
内部ドキュメントを作成する: GHAS のコンシューマー向けの内部ドキュメントを作成して伝達します。 GHAS を使用する開発者、セキュリティ エンジニア、その他のユーザーに適切なドキュメントが提供されていないと、ロールアウトで価値が失われます。
-
code scanning のロールアウトとスケーリング: 利用可能な API を活用し、先ほど収集したリポジトリ データを使用して、チーム別および言語ごとに Enterprise 全体でcode scanning を自動的にロールアウトします。
-
secret scanning のロールアウトとスケーリング: secret scanning をロールアウトします。これは構成が少ないため、code scanning よりも導入が簡単です。 それでも、新旧の結果を処理するための戦略を立てることが重要です。
GitHub Support and GitHub Professional Services
実装中に問題が発生した場合や、ご不明な点がある場合は、ドキュメントで解決策を検索するか、GitHub Support にお問い合わせください。 詳しくは、「GitHub Supportについて」をご覧ください。
ロールアウト プロセス全体のガイダンスをご希望の場合は、 Expert Services が、お客様と協力して GitHub Advanced Security のロールアウトと実装を成功させることができます。 ガイダンスとサポートでは、さまざまな GitHub Professional Services オプションが用意されています。 また、GitHub Advanced Security の価値を最適化するため、お客様の企業でご利用いただけるトレーニングや短期集中講座もご用意しています。
GitHub Professional Services で使用可能なすべてのオプションについて詳しくは、営業担当者にお問い合わせください。 詳細については、GitHub の営業チーム にお問い合わせください。
Note
このシリーズの最初の記事については「フェーズ 1: ロールアウト戦略と目標に合わせる」を参照してください。