Об этих статьях
GitHub Advanced Security (GHAS) позволяет командам разработчиков писать более безопасный код с помощью интегрированных инструментов, включая сканирование секретов и проверку кода с помощью CodeQL. Сведения о функциях безопасности, доступных в GitHub Advanced Security, см. в разделе Сведения о GitHub Advanced Security.
GHAS — это набор средств, требующих активного использования со стороны разработчиков в организации. Чтобы добиться максимальной рентабельности инвестиций, специалисты вашей организации должны научиться использовать и применять средства GHAS, а также обеспечивать их надлежащее обслуживание.
Мы создали поэтапный подход к развертыванию GHAS на основе лучших отраслевых методик и рекомендаций GitHub. Мы ожидаем, что большинство клиентов будут следовать этим этапам, основываясь на нашем опыте, который помогает клиентам в успешном развертывании GitHub Advanced Security. Но может потребоваться скорректировать этот подход в соответствии с потребностями вашей компании.
Включение GHAS в крупной организации можно разбить на шесть основных этапов.
- Согласование стратегии и целей развертывания. Подумайте о том, как будет выглядеть успех, и согласуйте пути реализации GHAS в вашей компании. Этот этап может занять всего несколько дней или неделю, но он закладывает твердый фундамент для остальной части развертывания.
- Подготовка к включению в большом масштабе. Подготовка разработчиков, сбор данных о репозиториях и подготовка к следующему этапу.
- Пилотные программы. При необходимости выполните пилотное развертывание для нескольких проектов и команд с высоким уровнем влияния. Это позволит первой группе в вашей компании ознакомиться с GHAS до того, как вы развернете ее для остальных сотрудников.
- Создание внутренней документации Создайте внутреннюю документацию и ознакомьте с ней потребителей GHAS. Без надлежащей документации для разработчиков, инженеров по безопасности и других пользователей, которые будут использовать GHAS, ценность развертывания значительно снизится.
- Развертывание и масштабирование code scanning . Использование доступных API для автоматического развертывания code scanning по командам и по языкам в организации с помощью собранных ранее данных репозиториев.
- Развертывание и масштабирование secret scanning . Развертывание secret scanning, которое требует меньше усилий по конфигурации и которое, следовательно, проще внедрить, чем code scanning. Но по-прежнему очень важно иметь стратегию обработки новых и старых результатов.
Поддержка GitHub и Professional Services
Если вы столкнулись с проблемами или возникли какие-либо вопросы во время реализации, вы можете поискать решение в нашей документации или обратиться в Поддержка GitHub. Дополнительные сведения см. в разделе Сведения о поддержке GitHub.
Если вам нужно сопровождение на протяжении всего процесса развертывания, GitHub Professional Services может помочь вам в успешном развертывании и реализации GitHub Advanced Security. Мы предлагаем различные варианты сопровождения и поддержки. У нас также есть учебные курсы, которые помогут вашей компании оптимизировать ценность от GitHub Advanced Security.
Обратитесь к своему торговому представителю, чтобы получить дополнительные сведения обо всех доступных вариантах профессионального обслуживания. За дополнительными сведениями обратитесь в Отдел продаж GitHub.
Первую статью этой серии см. в разделе Этап 1. Согласование стратегии и целей развертывания.