本文是大规模采用 GitHub Advanced Security 系列的一部分。 有关本系列的上一篇文章,请参阅“第 2 阶段:准备大规模启用”。
关于试点计划
建议确定一些非常重要的项目或团队,以用于 GHAS 的试点推广。 这将使公司内的初始组能够熟悉 GHAS,并为 GHAS 打好坚实的基础,然后再推出到公司的其他团队。
本阶段的这些步骤将帮助你在你的企业中启用 GHAS、开始使用其功能并查看结果。 如果你使用的是 GitHub Professional Services,他们可以根据需要通过入职会议、GHAS 研讨会和故障排除在此过程中提供额外帮助。
在开始试点项目之前,建议为团队安排一些会议,例如初始会议、中期审查和试点完成后的总结会议。 这些会议将帮助你根据需要进行调整,并确保团队做好准备并获得支持,以成功完成试点。
试用所有 GitHub Advanced Security 功能
可以使用 GitHub-recommended security configuration 大规模启用安全功能,这是可应用于组织中的存储库的安全启用设置集合。 然后,可以使用 global settings 在组织级别进一步自定义 GitHub Advanced Security 功能。 请参阅“关于批量启用安全功能”。
试点 code scanning
可以使用安全概述在组织中跨多个存储库为 code scanning 快速配置默认设置。 有关详细信息,请参阅“配置大规模代码扫描的默认设置”。
还可以选择为组织中的所有存储库启用 code scanning,但我们建议在试点计划的高效存储库子集上配置 code scanning。
对于某些语言或生成系统,可能需要改为为 code scanning 配置高级设置,以便全面了解代码库。 但是,高级设置需要在配置、自定义和维护上投入更多工作量,因此我们建议首先启用默认设置。
如果你的公司希望将其他第三方代码分析工具用于 GitHub code scanning,则可以使用操作在 GitHub 中运行这些工具。 你也可以将由第三方工具生成的结果作为 SARIF 文件上传到 code scanning。 有关详细信息,请参阅“与代码扫描集成”。
试点 secret scanning
GitHub 扫描仓库查找已知的密码类型,以防止欺诈性使用意外提交的密码。
需要为每个试点项目启用 secret scanning 和推送保护。 可使用 GitHub-recommended security configuration 执行此操作,也可创建 custom security configuration。 有关详细信息,请参阅“在组织中应用 GitHub 建议的安全配置”和“删除自定义安全配置”。
如果你计划在开发人员尝试推送被阻止的机密时显示的消息中配置指向资源的链接,那么现在是测试并开始完善你计划提供的指南的好时机。
开始使用安全概览中的推送保护指标页面审阅活动。 有关详细信息,请参阅“查看机密扫描推送保护的指标”。
如果整理了所有特定于贵公司的自定义模式,尤其是与试点 secret scanning 的项目相关的任意自定义模式,你可以配置这些模式。 有关详细信息,请参阅“为机密扫描定义自定义模式”。
若要了解如何查看和关闭已签入存储库的机密警报,请参阅“管理来自机密扫描的警报”。
有关本系列的下一篇文章,请参阅“第 4 阶段:创建内部文档”。