この記事は、GitHub Advanced Security の大規模な導入に関するシリーズの一部です。 このシリーズの前の記事については、「フェーズ 2: 大規模な有効化の準備」をご覧く� さい。
パイロット プログラ� について
GHAS のパイロット ロールアウトで使用する影響の大きいプロジェクトまたはチー� をいくつか特定することをお勧めします。 これにより、社内の最初のグループが GHAS に慣れ、GHAS に関する強固な基盤を構築してから、企業の残りの部分にロールアウトすることができます。
このフェーズのこれらの手� �は、お客様の会社で GHAS を有効にし、その機能を使い始めて、結果を確認するのに役立ちます。 GitHub Professional Services と協力している� �合は、担当者がオンボーディング セッション、GHAS ワークショップ、必要に応じたトラブルシューティングを通じて、このプロセス全体の追� の支援を提供できます。
パイロット プロジェクトを始める前に、最初のミーティング、中間レビュー、パイロット完了時の総括セッションなど、チー� のミーティングをいくつかスケジュールすることをお勧めします。 これらのミーティングは、必要に応じて調整を行い、チー� がパイロットを正常に完了できる状態で、準備を行いサポートを受けていることを確認するのに役立ちます。
GitHub Enterprise Server インスタンスに対して GHAS をま� 有効にしていない� �合は、「エンタープライズの GitHub Advanced Security の有効化」を参照してく� さい。
GHAS 機能をリポジトリごとに、またはパイロットに参� しているすべての Organization のすべてのリポジトリで有効にして、各パイロット プロジェクトについて GHAS を有効にする必要があります。 詳細については、「リポジトリのセキュリティと分析設定を管理する」または「Organization のセキュリティと分析設定を管理する」を参照してく� さい。
code scanning のパイロット
GitHub Enterprise Server インスタンスで code scanning を有効にするには、「アプライアンスのコード スキャンの構成」を参照してく� さい。
GitHub Actions ワークフローを作成して CodeQL アクションを実行すると、リポジトリでコード スキャンを実行できます。
GitHub Actions の詳細については、次を参照してく� さい。
パイロット プログラ� の一環として、リポジトリごとに code scanning を有効にすることをお勧めします。 詳細については、「リポジトリの code scanning の設定」を参照してく� さい。
多くのリポジトリでコード スキャンを有効にする� �合は、プロセスのスクリプトを記述することをお勧めします。
GitHub Actions ワークフローを複数のリポジトリに追� する pull request を開くスクリプトの例については、PowerShell を使用する例の� �合は jhutchings1/Create-ActionsPRs
リポジトリを、PowerShell を使わず代わりに NodeJS を使用したいチー� の� �合は nickliffen/ghas-enablement
を参照してく� さい。
初めてコード スキャンを実行すると、結果が見つからなかったり、普通ではない数の結果が返されたりする� �合があります。 以降のスキャンでフラグが設定される内容を調整できます。 詳細については、「code scanning を構成する」を参照してく� さい。
GitHub code scanning で他のサードパーティ製コード分析ツールを使用する� �合は、アクションを使用して、それらのツールを GitHub 内で実行できます。 または、サードパーティ製ツールによって生成された結果を SARIF ファイルとしてコード スキャンにアップロードすることもできます。 詳細については、「code scanning と統合する」を参照してく� さい。
secret scanning のパイロット
GitHub は、誤ってコミットされたシークレットの不正使用を防ぐために、リポジトリで既知の種類のシークレットをスキャンします。
GitHub Enterprise Server インスタンスでシークレットのスキャンを有効にするには、「アプライアンスでシークレットのスキャンを構成する」を参照してく� さい。
リポジトリごとにシークレット スキャン機能を有効にするか、プロジェクトに参� しているすべての組織のすべてのリポジトリで機能を有効にすることにより、各パイロット プロジェクトについて機能を有効にする必要があります。 詳しくは、「リポジトリのセキュリティと分析設定を管理する」または「Organization のセキュリティと分析設定を管理する」をご覧く� さい。
Enterprise 固有のカスタ� パターン、特に secret scanning のパイロットを行うプロジェクトに関連するパターンを照合した� �合は、それらを構成できます。 詳細については、シークレット スキャンのカスタ� パターンの定義に関する記事を参照してく� さい。
リポジトリにチェックインされたシークレットのアラートを表示して閉じる方法については、「Secret scanning からのアラートを管理する」を参照してく� さい。
このシリーズの次の記事については、「フェーズ 4: 内部ドキュメントを作成する」をご覧く� さい。