フェーズ 3: パイロット プログラム

最初のロールアウトのパイロットに使用する影響の大きいいくつかのプロジェクトやチームから始めるとメリットが得られる場合があります。 これにより、社内の最初のグループが GHAS に慣れ、GHAS を有効にして構成する方法を学習し、GHAS に関する強固な基盤を構築してから、会社の残りの部分にロールアウトすることができます。

この記事の内容

この記事は、GitHub Advanced Security の大規模な導入に関するシリーズの一部です。 このシリーズの前の記事については「フェーズ 2: 大規模な有効化の準備」を参照してください。

パイロット プログラムについて

GHAS のパイロット ロールアウトで使用する影響の大きいプロジェクトまたはチームをいくつか特定することをお勧めします。 これにより、社内の最初のグループが GHAS に慣れ、GHAS に関する強固な基盤を構築してから、企業の残りの部分にロールアウトすることができます。

このフェーズのこれらの手順は、お客様の会社で GHAS を有効にし、その機能を使い始めて、結果を確認するのに役立ちます。 GitHub Professional Services と協力している場合は、担当者がオンボーディング セッション、GHAS ワークショップ、必要に応じたトラブルシューティングを通じて、このプロセス全体の追加の支援を提供できます。

パイロット プロジェクトを始める前に、最初のミーティング、中間レビュー、パイロット完了時の総括セッションなど、チームのミーティングをいくつかスケジュールすることをお勧めします。 これらのミーティングは、必要に応じて調整を行い、チームがパイロットを正常に完了できる状態で、準備を行いサポートを受けていることを確認するのに役立ちます。

GitHub Enterprise Server インスタンスに対して GHAS をまだ有効にしていない場合は、「自社で GitHub Advanced Security を有効にする」を参照してください。

GHAS 機能をリポジトリごとに、またはパイロットに参加しているすべての組織のすべてのリポジトリで有効にして、各パイロット プロジェクトについて GHAS を有効にする必要があります。 詳細については、「リポジトリのセキュリティと分析設定を管理する」または「組織のセキュリティおよび分析設定を管理する」を参照してください。

すべての GitHub Advanced Security 機能のパイロット

組織内のリポジトリに適用できるセキュリティ有効化設定のコレクションである GitHub-recommended security configuration を使用すると、大規模なセキュリティ機能をすばやく有効にできます。 その後、global settings を使用して、さらに組織レベルで GitHub Advanced Security 機能をカスタマイズできます。 「大規模なセキュリティ機能の有効化について」をご覧ください。

注: Security configurations と global settings はベータ版で提供されており、変更される可能性があります。

code scanning のパイロット

GitHub Enterprise Server インスタンスで code scanning を有効にするには、「アプライアンス用コードスキャンの構成」を参照してください。

セキュリティの概要を使用して、組織内の複数のリポジトリ全体で code scanning の既定のセットアップをすばやく構成できます。 詳しくは、「大規模なコード スキャンの既定のセットアップを構成する」を参照してください。

組織内のすべてのリポジトリに対して code scanning を有効にすることもできますが、パイロット プログラムでは影響の大きいリポジトリのサブセットに code scanning を構成することをお勧めします。

一部の言語またはビルド システムでは、代わりに code scanning の高度なセットアップを構成して、コードベースを完全にカバーすることが必要になる場合があります。 ただし、高度なセットアップでは、構成、カスタマイズ、および保守に非常に多くの労力が必要となるため、最初に既定のセットアップを有効にすることをお勧めします。

GitHub code scanning で他のサード パーティ製コード分析ツールを使用する場合は、アクションを使用して、GitHub 内でこれらのツールを実行できます。 または、サードパーティ ツールを使い SARIF ファイルとして生成した結果を code scanning にアップロードすることもできます。 詳しくは、「Code scanningと統合する」を参照してください。

secret scanning

のパイロット

GitHub は、既知のタイプのシークレットのリポジトリを探して、誤ってコミットされたシークレットの不正使用を防止します。

GitHub Enterprise Server インスタンスでシークレットのスキャンを有効にするには、「アプライアンスのシークレットスキャンを設定する」を参照してください。

リポジトリごとにシークレット スキャン機能を有効にするか、プロジェクトに参加しているすべての組織のすべてのリポジトリで機能を有効にすることにより、各パイロット プロジェクトについて機能を有効にする必要があります。 詳細については、「リポジトリのセキュリティと分析設定を管理する」または「組織のセキュリティおよび分析設定を管理する」を参照してください。

次に、パイロット プロジェクトごとにプッシュ保護を有効にします。

開発者がブロックされたシークレットをプッシュしようとしたときに表示されるメッセージ内のリソースへのリンクを構成する予定がある場合は、テストを開始して、使用可能にする予定のガイダンスの調整を開始することをお勧めします。

セキュリティの概要のプッシュ保護メトリック ページを使用して、レビュー活動を開始します。 詳しくは、「Viewing metrics for secret scanning push protection」を参照してください。

エンタープライズ固有のカスタム パターン、特に secret scanning のパイロットを行うプロジェクトに関連するパターンを照合した場合は、それらを構成できます。 詳しくは、「シークレット スキャンのカスタム パターンの定義」を参照してください。

リポジトリにチェックインしたシークレットのアラートを表示して閉じる方法については、「シークレット スキャンからのアラートの管理」を参照してください。

このシリーズの次の記事については「フェーズ 4: 内部ドキュメントを作成する」を参照してください。