大規模な GitHub Advanced Security の導入

業界と GitHub のベスト プラクティスに従って、企業で GitHub Advanced Security を大規模に導入できます。

code scanning と secret scanning を有効にする前に、企業全体に GHAS をロールアウトする方法を計画します。

このフェーズでは、開発者の準備を行い、チームの準備を確実にするためにリポジトリに関するデータを収集し、パイロット プログラムと、code scanning および secret scanning のロールアウトに必要なすべてのものを用意します。

最初のロールアウトのパイロットに使用する影響の大きいいくつかのプロジェクトやチームから始めるとメリットが得られる場合があります。 これにより、社内の最初のグループが GHAS に慣れ、GHAS を有効にして構成する方法を学習し、GHAS に関する強固な基盤を構築してから、会社の残りの部分にロールアウトすることができます。

内部ドキュメントを作成し、これを GitHub Advanced Security のコンシューマーに伝えます。

使用可能な API を利用し、先ほど収集したリポジトリ データを使用して、企業全体で Team 別および言語別に code scanning をプログラムでロールアウトできます。

この最後のフェーズでは、secret scanning のロールアウトについて重点的に取り上げます。 Secret scanning は、必要な構成が少ないため、code scanning よりも簡単にロールアウトできるツールですが、新しい結果と古い結果を処理するための戦略を策定することが重要です。