Note
この記事は、GitHub Advanced Security の大規模な導入に関するシリーズの一部です。 このシリーズの前の記事については、「フェーズ 2: 大規模な有効化の準備」を参照してください。
パイロット プログラムについて
GHAS のパイロット ロールアウトで使用する影響の大きいプロジェクトまたはチームをいくつか特定することをお勧めします。 これにより、社内の最初のグループが GHAS に慣れ、GHAS に関する強固な基盤を構築してから、企業の残りの部分にロールアウトすることができます。
このフェーズのこれらの手順は、お客様の会社で GHAS を有効にし、その機能を使い始めて、結果を確認するのに役立ちます。 GitHub Professional Services と協力している場合は、担当者がオンボーディング セッション、GHAS ワークショップ、必要に応じたトラブルシューティングを通じて、このプロセス全体の追加の支援を提供できます。
パイロット プロジェクトを始める前に、最初のミーティング、中間レビュー、パイロット完了時の総括セッションなど、チームのミーティングをいくつかスケジュールすることをお勧めします。 これらのミーティングは、必要に応じて調整を行い、チームがパイロットを正常に完了できる状態で、準備を行いサポートを受けていることを確認するのに役立ちます。
GitHub Enterprise Server インスタンスに対して GHAS をまだ有効にしていない場合は、「自社で GitHub Advanced Security を有効にする」を参照してください。
すべての GitHub Advanced Security 機能のパイロット
security configuration (organization 内のリポジトリに適用できるセキュリティ有効化設定のコレクション) を使用すると、セキュリティ機能を大規模にすばやく有効にすることができます。 その後、global settings を使用して、さらに組織レベルで GitHub Advanced Security 機能をカスタマイズできます。 「大規模なセキュリティ機能の有効化について」をご覧ください。
code scanning のパイロット
GitHub Enterprise Server インスタンスで code scanning を有効にするには、「アプライアンス用コードスキャンの構成」を参照してください。
セキュリティの概要を使用して、組織内の複数のリポジトリ全体で code scanning の既定のセットアップをすばやく構成できます。 詳しくは、「大規模なコード スキャンの既定のセットアップを構成する」をご覧ください。
組織内のすべてのリポジトリに対して code scanning を有効にすることもできますが、パイロット プログラムでは影響の大きいリポジトリのサブセットに code scanning を構成することをお勧めします。
一部の言語またはビルド システムでは、代わりに code scanning の高度なセットアップを構成して、コードベースを完全にカバーすることが必要になる場合があります。 ただし、高度なセットアップでは、構成、カスタマイズ、および保守に非常に多くの労力が必要となるため、最初に既定のセットアップを有効にすることをお勧めします。
GitHub code scanning で他のサード パーティ製コード分析ツールを使用する場合は、アクションを使用して、GitHub 内でこれらのツールを実行できます。 または、サードパーティ ツールを使い SARIF ファイルとして生成した結果を code scanning にアップロードすることもできます。 詳しくは、「Code scanningと統合する」をご覧ください。
secret scanning のパイロット
GitHub は、既知のタイプのシークレットのリポジトリを探して、誤ってコミットされたシークレットの不正使用を防止します。
GitHub Enterprise Server インスタンスでシークレットのスキャンを有効にするには、「アプライアンスのシークレットスキャンを設定する」を参照してください。
パイロット プロジェクトごとに secret scanning およびプッシュ保護を有効にする必要があります。 これを行うには、security configuration を使います。 詳しくは、「カスタム セキュリティ構成の作成」をご覧ください。
開発者がブロックされたシークレットをプッシュしようとしたときに表示されるメッセージ内のリソースへのリンクを構成する予定がある場合は、テストを開始して、使用可能にする予定のガイダンスの調整を開始することをお勧めします。
セキュリティの概要のプッシュ保護メトリック ページを使用して、レビュー活動を開始します。 詳しくは、「シークレット スキャン プッシュ保護のメトリックを表示する」をご覧ください。
エンタープライズ固有のカスタム パターン、特に secret scanning のパイロットを行うプロジェクトに関連するパターンを照合した場合は、それらを構成できます。 詳しくは、「シークレット スキャンのカスタム パターンの定義」をご覧ください。
リポジトリにチェックインしたシークレットのアラートを表示して閉じる方法については、「シークレット スキャンからのアラートの管理」を参照してください。
Note
このシリーズの次の記事については、「フェーズ 4: 内部ドキュメントを作成する」を参照してください。