本文是大规模采用 GitHub Advanced Security 系列的一部分。 有关本系列的上一篇文章,请参阅“第 2 阶段:准备大规模启用”。
关于试点计划
建议确定一些非常重要的项目或团队,以用于 GHAS 的试点推广。 这将使公司内的初始组能够熟悉 GHAS,并为 GHAS 打好坚实的基础,然后再推出到公司的其他团队。
本阶段的这些步骤将帮助你在你的企业中启用 GHAS、开始使用其功能并查看结果。 如果你使用的是 GitHub Professional Services,他们可以根据需要通过入职会议、GHAS 研讨会和故障排除在此过程中提供额外帮助。
在开始试点项目之前,建议为团队安排一些会议,例如初始会议、中期审查和试点完成后的总结会议。 这些会议将帮助你根据需要进行调整,并确保团队做好准备并获得支持,以成功完成试点。
如果尚未为 GitHub Enterprise Server 实例启用 GHAS,请参阅“为企业启用 GitHub 高级安全性”。
试点 code scanning
若要在 GitHub Enterprise Server 实例上启用 code scanning,请参阅“为设备配置代码扫描”。
可以使用安全概述在组织中跨多个存储库为 code scanning 快速配置默认设置。 有关详细信息,请参阅“配置大规模代码扫描的默认设置”。
还可以选择为组织中的所有存储库启用 code scanning,但我们建议在试点计划的高效存储库子集上配置 code scanning。
对于某些语言或生成系统,可能需要改为为 code scanning 配置高级设置,以便全面了解代码库。 但是,高级设置需要在配置、自定义和维护上投入更多工作量,因此我们建议首先启用默认设置。
如果你的公司希望将其他第三方代码分析工具用于 GitHub code scanning,则可以使用操作在 GitHub 中运行这些工具。 你也可以将由第三方工具生成的结果作为 SARIF 文件上传到 code scanning。 有关详细信息,请参阅“与代码扫描集成”。
试点 secret scanning
GitHub 扫描仓库查找已知的密码类型,以防止欺诈性使用意外提交的密码。
若要为 GitHub Enterprise Server 实例启用机密扫描,请参阅“为设备配置密码扫描”。
你需要通过为每个存储库或参与该项目的任何组织中的所有存储库启用该功能,来为每个试点项目启用 secret scanning。 有关详细信息,请参阅“管理存储库的安全和分析设置”或“管理组织的安全和分析设置”。
接下来,为每个试点项目启用推送保护。
如果你计划在开发人员尝试推送被阻止的机密时显示的消息中配置指向资源的链接,那么现在是测试并开始完善你计划提供的指南的好时机。
开始使用安全概览中的推送保护指标页面审阅活动。 有关详细信息,请参阅“查看机密扫描推送保护的指标”。
如果整理了所有特定于贵公司的自定义模式,尤其是与试点 secret scanning 的项目相关的任意自定义模式,你可以配置这些模式。 有关详细信息,请参阅“为机密扫描定义自定义模式”。
若要了解如何查看和关闭已签入存储库的机密警报,请参阅“管理来自机密扫描的警报”。
有关本系列的下一篇文章,请参阅“第 4 阶段:创建内部文档”。