Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы, возможно, еще выполняется. Актуальные сведения см. в документации на английском языке.
All products
Безопасность кода

Этап 3. Пилотные программы

В этой статье

Вы можете начать с нескольких важных проектов и команд, с которыми можно провести пилотное развертывание. Таким образом, начальная группа специалистов сможет ознакомиться с инструментами GHAS, узнать, как включать и настраивать их. Это позволит построить фундамент для развертывания GHAS в масштабе всей организации.

Эта статья является частью серии "Внедрение GitHub Advanced Security в большом масштабе". Предыдущую статью этой серии см. в разделе Этап 2. Подготовка к включению в большом масштабе.

О пилотных программах

Мы рекомендуем определить несколько проектов или команд с высоким уровнем влияния для использования в пилотном запуске GHAS. Это позволит первой группе в вашей компании познакомиться с GHAS и создать надежный фундамент для GHAS перед развертыванием в оставшейся части компании.

Действия этого этапа помогут вам включить GHAS на предприятии, приступить к использованию его функций и изучить результаты. Если вы работаете с GitHub Professional Services, они могут оказать дополнительную помощь в рамках этого процесса посредством сессий адаптации, семинаров GHAS и устранения неполадок по мере необходимости.

Перед запуском пилотных проектов мы рекомендуем запланировать ряд совещаний для ваших команд, например стартовое совещание, проверку в середине этапа и завершающее совещание по пилотному проекту. Такие совещания помогут вам внести необходимые изменения и убедиться, что ваши команды подготовлены и располагают достаточной поддержкой для успешного выполнения пилотного проекта.

Необходимо включить GHAS для каждого пилотного проекта, включив функцию GHAS для каждого репозитория или для всех репозиториев во всех организациях, участвующих в проекте. Дополнительные сведения см. в разделах Управление параметрами безопасности и анализа для репозитория или Управление параметрами безопасности и анализа для организации.

Пилотный запуск code scanning

Вы можете выполнять проверку кода в репозитории, создав рабочий процесс GitHub Actions для запуска действия CodeQL. Code scanning по умолчанию использует средства выполнения тестов, размещенные в GitHub , но их можно настроить, если вы планируете разместить собственное средство выполнения с собственными спецификациями оборудования. Дополнительные сведения см. в разделе Размещение собственных средств выполнения.

Дополнительные сведения о GitHub Actions см. в следующем разделе:

в рамках пилотной программы мы рекомендуем включать code scanning для конкретных репозиториев. Дополнительные сведения см. в разделе Настройка проверки кода для репозитория.

Если вы хотите включить проверку кода для нескольких репозиториев, может потребоваться создать сценарий процесса.

Пример сценария для создания запросов на вытягивание, которые добавляют рабочий процесс GitHub Actions сразу в несколько репозиториев, см. пример с использованием PowerShell в репозитории jhutchings1/Create-ActionsPRs или nickliffen/ghas-enablement, если у команды нет PowerShell, и вместо него она хочет использовать NodeJS.

При выполнении начальных проверок кода может оказаться, что результаты не найдены или возвращается необычное количество результатов. Может потребоваться настроить объекты для помечания флагами при будущих проверках. Дополнительные сведения см. в разделе Настройка сканирования кода.

Если ваша компания хочет использовать другие сторонние средства анализа кода для сканирования кода GitHub, можно использовать действия для запуска этих средств в GitHub. Кроме того, можно отправить в проверку кода результаты, созданные сторонними средствами в виде SARIF-файлов. Дополнительные сведения см. в разделе Интеграция со сканированием кода.

Пилотный запуск secret scanning

GitHub сканирует репозитории на наличие известных типов секретов, чтобы предотвратить случайную фиксацию секретов.

Необходимо включить сканирование секрета для каждого пилотного проекта, включив эту функцию для каждого репозитория или для всех репозиториев в любых организациях, участвующих в проекте. Дополнительные сведения см. в разделе Управление параметрами безопасности и анализа для репозитория или Управление параметрами безопасности и анализа для организации.

Если вы добавили какие-либо пользовательские шаблоны, характерные для вашего предприятия, особенно связанные с пилотными проектами secret scanning, вы можете настроить их. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов.

Сведения о просмотре и закрытии оповещений о секретах, возвращенных в репозиторий, см. в разделе Управление оповещениями о проверке секретов.

Следующую статью этой серии см. в разделе Этап 4. Создание внутренней документации.