Fase 3: Programas piloto

Sobre programas piloto

Recomendamos que você identifique algumas equipes e alguns projetos de alto impacto para usar em uma distribuição piloto do GHAS. Com isso, um grupo inicial se familiariza com o GHAS e cria uma base sólida nele antes da distribuição para o restante da empresa.

Essas etapas ajudam você a habilitar o GHAS em sua empresa, começar a usar as funcionalidades dele e revisar seus resultados. Se você estiver trabalhando com GitHub Professional Services, ele poderá fornecer assistência adicional por meio desse processo com sessões de integração, oficinas do GHAS e solução de problemas, conforme necessário.

Antes de iniciar os projetos piloto, recomendamos que você agende algumas reuniões para as equipes, como uma reunião inicial, uma revisão durante o processo e uma sessão de encerramento após a conclusão do piloto. Essas reuniões ajudarão você a fazer todos os ajustes, conforme necessário, e assegurarão que as equipes estejam preparadas e tenham o apoio necessário para concluir o piloto com sucesso.

Realizando pilotos de todos os recursos do GitHub Advanced Security

Você pode habilitar rapidamente os recursos de segurança em escala com o GitHub-recommended security configuration, uma coleção de configurações de habilitação de segurança que você pode aplicar a repositórios em uma organização. Você pode personalizar ainda mais os recursos do Advanced Security no nível da organização com global settings. Confira Sobre a habilitação de recursos de segurança em escala.

Distribuição piloto do code scanning

Você pode definir rapidamente a configuração padrão para a code scanning em vários repositórios em uma organização usando a visão geral de segurança. Para saber mais, confira Como definir a configuração padrão da verificação de código em escala.

Você também pode escolher habilitar a code scanning para todos os repositórios em uma organização, mas recomendamos configurar a code scanning em um subconjunto de repositórios de alto impacto para seu programa piloto.

Se sua empresa quiser usar outras ferramentas para análise de código de terceiros com a GitHub code scanning, você poderá usar ações para executar essas ferramentas no GitHub. Como alternativa, é possível carregar os resultados, que são gerados por ferramentas de terceiros como arquivos SARIF, para a code scanning. Para saber mais, confira Integrar com ferramentas existentes.

Distribuição piloto do secret scanning

GitHub verifica repositórios para identificar tipos conhecidos de segredos, a fim de impedir o uso fraudulento de segredos que foram commitados acidentalmente.

Siga estas etapas:

Você precisa habilitar o secret scanning e a proteção por push para cada projeto piloto. Você pode fazer isso com o GitHub-recommended security configuration, ou criar uma custom security configuration. Para saber mais, confira Aplicando a configuração de segurança recomendada GitHub em sua organização e Criando uma configuração de segurança personalizada.

Se você planeja configurar um link para um recurso na mensagem exibida quando um desenvolvedor tenta efetuar push de um segredo bloqueado, agora seria um bom momento para testar e começar a refinar as diretrizes que você planeja disponibilizar.

Comece a revisar a atividade usando a página de métricas de proteção por push na visão geral de segurança. Para saber mais, confira Métricas de proteção por push de verificação secreta.

Se você tiver coletado padrões personalizados específicos para sua empresa, especialmente aqueles relacionados aos projetos que estão pilotando o secret scanning, você pode configurá-los. Para saber mais, confira Definir padrões personalizados para a verificação de segredo.

Para saber como exibir e fechar alertas de segredos inseridos no seu repositório, confira Gerenciar alertas de verificação de segredo.