この記事は、GitHub Advanced Security の大規模な導入に関するシリーズの一部です。 このシリーズの前の記事については「フェーズ 3: パイロット プログラム」を参照してください。
GitHub Advanced Security を有効にする前に、チームが従うプロセスを定義する内部ドキュメントを作成する必要があります。 プロセスが、単にチームに最善の判断を適用するように求める場合でも、セキュリティ アラートを受け取ったときに何をすべきかを全員が知る必要があります。 また、ドキュメントを使用すると、開発者が質問がある場合にブロックされるのを防ぐことができます。 GHAS に関するドキュメントは、開発者ポータルやカスタム ナレッジ ベースなど、開発者向けの既存のドキュメントと共に配置する必要があります。
パイロット プログラムを実行した場合は、それらのパイロットに関係するチームのエクスペリエンスとフィードバックを使用して、ドキュメントに反映させます。 これは、企業に固有の問題が発生し、他のチームにも発生する可能性が高い場合に特に便利です。
内部ドキュメントの作成をスキップしても、ロールアウトは意図したペースでは進みません。 内部ドキュメントを作成すると、最初のロールアウトが 1、2 週間遅くなることがありますが、開発者があなたのチームに来ずに、自身で質問に答えることができるときにその時間が埋め合わせられます。
教育は、さまざまな状況で何をすべきかを開発者に教えるので、おそらくロールアウトの最も重要な部分です。 開発者がリポジトリのセキュリティを維持する権限を与えられていることと、セキュリティ チームが開発者の行っていることと、セキュリティの最善の利益の両方を検証する権限を持っていることを確認する必要があります。 内部ドキュメントに加えて、教育はオンライン セッションや Q&A などの形式を取ることができます。
このシリーズの次の記事については「フェーズ 5: Code Scanning のロールアウトとスケーリング」を参照してください。