Phase 3: Pilotprogramme

Es kann von Vorteil sein, wenn du mit einigen wenigen Projekten und Teams beginnst, die eine hohe Relevanz haben und mit denen du in einem Pilotprogramm einen ersten Rollout durchführst. Dies ermöglicht es einer ersten Gruppe in deinem Unternehmen, sich mit GHAS vertraut zu machen, zu erfahren, wie GHAS aktiviert und konfiguriert wird, und eine solide Grundlage für GHAS zu erstellen, bevor du den Rollout für den Rest deines Unternehmens durchführst.

In diesem Artikel

Tipp

Dieser Artikel ist Teil einer Reihe über die Einführung GitHub Advanced Security in großem Maßstab. Den vorherigen Artikel dieser Reihe findest du unter Phase 2: Vorbereiten auf das Aktivieren im großen Stil.

Informationen zu Pilotprogrammen

Wir empfehlen dir, einige besonders relevante Projekte oder Teams für einen Pilotrollout von GHAS zu bestimmen. So kann sich eine erste Gruppe innerhalb deines Unternehmens mit GHAS vertraut machen und eine solide Grundlage für GHAS schaffen, ehe du den Rollout auf den Rest deines Unternehmens ausweitest.

Mit den Schritten in dieser Phase kannst du GHAS in deinem Unternehmen aktivieren, mit der Nutzung seiner Features beginnen und deine Ergebnisse überprüfen. Wenn Sie mit GitHub Professional Servicesihnen arbeiten, können sie bei Bedarf zusätzliche Unterstützung durch diesen Prozess durch Onboarding-Sitzungen, GHAS-Workshops und Problembehandlung bereitstellen.

Bevor du mit deinen Pilotprojekten beginnst, empfehlen wir, einige Besprechungen mit deinen Teams zu planen, z. B. eine erste Besprechung, eine Überprüfung zur Projekthalbzeit und eine Abschlusssitzung, wenn der Pilot abgeschlossen ist. Diese Besprechungen helfen allen, bei Bedarf Anpassungen vorzunehmen und sicherzustellen, dass deine Teams vorbereitet sind und unterstützt werden, um den Piloten erfolgreich abzuschließen.

Pilotieren aller GitHub Advanced Security Features

Sie können schnell Sicherheitsfunktionen in großem Maßstab mit einem security configuration, einer Sammlung von Sicherheitsaktivierungseinstellungen, die Sie auf Repositorys in einer Organisation anwenden können, aktivieren. Sie können die Merkmale von Advanced Security auf Organisationsebene mit global settings anpassen. Weitere Informationen findest du unter Informationen zum Aktivieren von Sicherheitsfunktionen in großem Umfang.

Pilotierung code scanning

Mithilfe der Sicherheitsübersicht können Sie das Standardsetup mehrerer code scanning Repositories in einer Organisation schnell konfigurieren. Weitere Informationen finden Sie unter Konfigurieren des Standardsetups für das Codescanning im großen Stil.

Sie können code scanning auch für alle Repositories in einer Organisation aktivieren, jedoch empfehlen wir, code scanning auf eine Teilmenge von Repositories mit hohem Einfluss für Ihr Pilotprogramm zu konfigurieren.

Bei einigen Sprachen oder Buildsystemen müssen Sie möglicherweise stattdessen das erweiterte Setup für code scanning konfigurieren, um eine vollständige Abdeckung Ihrer Codebasis zu erhalten. Die erweiterte Einrichtung erfordert jedoch einen deutlich höheren Aufwand für die Konfiguration, Anpassung und Wartung, weshalb wir empfehlen, zunächst die Standardeinrichtung zu aktivieren.

Wenn Ihr Unternehmen andere Codeanalyse-Tools von Drittanbietern verwenden möchte, können Sie Aktionen verwenden, um diese Tools innerhalb von GitHub auszuführen. Alternativ können Sie Ergebnisse hochladen, die von Drittanbietertools als SARIF-Dateien generiert werden, in code scanning. Weitere Informationen finden Sie unter Integration mit vorhandenen Tools.

Pilotierung secret scanning

          GitHub scannt Repositories nach bekannten Arten von Geheimnissen, um die betrügerische Verwendung von versehentlich begangenen Geheimnissen zu verhindern.



          secret scanning und den Push-Schutz für jedes Pilotprojekt aktivieren. Sie können dies mit einem security configuration. Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/securing-your-organization/enabling-security-features-in-your-organization/creating-a-custom-security-configuration).

Wenn du beabsichtigst, einen Link zu einer Ressource in der Nachricht zu konfigurieren, die angezeigt wird, wenn ein Entwickler versucht, ein blockiertes Geheimnis zu pushen, wäre jetzt ein guter Zeitpunkt, um die Anleitung zu testen und zu verfeinern, die du zur Verfügung stellen willst.

Beginne mit der Überprüfung der Aktivität mithilfe der Seite "Push-Schutzmetriken" in der Sicherheitsübersicht. Weitere Informationen finden Sie unter Metriken für Geheim-Scan und Push-Schutz.

Wenn Sie benutzerdefinierte Muster für Ihr Unternehmen zusammengetragen haben, insbesondere solche, die mit den Pilotprojekten secret scanning zu tun haben, können Sie diese konfigurieren. Weitere Informationen finden Sie unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.

Wie du Warnhinweise für Secrets, die in dein Repository eingecheckt wurden, anzeigen und abschließen kannst, erfährst du unter Verwalten von Warnungen zur Geheimnisüberprüfung.

Tipp

Den nächsten Artikel in dieser Reihe findest du unter Phase 4: Erstellen interner Dokumentation.