¿Es una prueba de autoservicio adecuada para ti?
Este artículo es para organizaciones que desean iniciar una prueba de GitHub Advanced Security forma independiente, sin la ayuda de un experto o asociado. Normalmente, eso significa que eres una organización pequeña o mediana.
Este artículo le ayuda a planificar una prueba de autoservicio de GitHub Advanced Security. Una prueba de autoservicio es adecuada si se cumplen las dos condiciones siguientes:
- Quieres realizar la prueba de forma independiente, sin la ayuda de un experto o asociado. Normalmente, esto funciona mejor para organizaciones pequeñas o medianas.
- Usted es un cliente existente GitHub Enterprise Cloud que paga con tarjeta de crédito o PayPal.
De lo contrario, ponte en contacto con nosotros para obtener ayuda con tu versión de prueba.
- Si deseas ayuda de un experto: ponte en contacto con nuestro equipo.
- Si pagas con factura: ponte en contacto con tu representante de ventas.
1. Definición de los objetivos de la compañía
Antes de iniciar una prueba, debes definir el propósito de la prueba e identificar las preguntas clave que debes responder. Mantener un enfoque sólido en estos objetivos te permitirá planificar un período de evaluación que maximice la detección y garantiza que tengas la información necesaria para decidir si deseas hacer la actualización o no.
Si su empresa ya usa GitHub, tenga en cuenta las necesidades que actualmente no se cumplen y que Secret Protection or Code Security podría abordar. También debes tener en cuenta la posición actual de seguridad de la aplicación y los objetivos a largo plazo. Para obtener inspiración, consulte Principios de diseño para la seguridad de las aplicaciones en la GitHub documentación bien diseñada.
| Ejemplo de necesidad | Características que se van a explorar durante el período de evaluación |
|---|---|
| Imponer el uso de funcionalidades de seguridad | Directivas y configuraciones de seguridad de nivel empresarial. Consulta Habilitación de características de seguridad a gran escala y Directivas de empresa |
| Protección de tokens de acceso personalizados | Patrones personalizados para secret scanning, omisión delegada para la protección contra pulsaciones y comprobaciones de validez. Consulta Explorando la prueba empresarial de GitHub Secret Protection |
| Definición y aplicación de un proceso de desarrollo | Revisión de dependencias, reglas de evaluación automática de prioridades, conjuntos de reglas y directivas. Consulta Acerca de la revisión de dependencias, Acerca de Evaluación de prioridades automática de Dependabot, Acerca de los conjuntos de reglas y Directivas de empresa |
| Reducción de la deuda técnica a gran escala | Campañas de seguridad. Consulte Acerca de las campañas de seguridad. |
| Supervisión y seguimiento de las tendencias en los riesgos de seguridad | Introducción a la seguridad. Consulta Visualización de información de seguridad |
Si su empresa aún no usa GitHub , es probable que tenga preguntas adicionales, incluida la forma en que la plataforma controla la residencia de datos, la administración segura de cuentas y la migración del repositorio. Para más información, consulta Introducción a GitHub Enterprise Cloud.
2. Identificación de los miembros del equipo de evaluación
GitHub Advanced Security le permite integrar medidas de seguridad a lo largo del ciclo de vida de desarrollo de software, por lo que es importante asegurarse de incluir representantes de todas las áreas del ciclo de desarrollo. De lo contrario, corres el riesgo de tomar una decisión sin tener todos los datos que necesitas. Una evaluación incluye 50 licencias que proporcionan ámbito para la representación desde una gama más amplia de personas.
También puede resultar útil identificar un experto para cada compañía que tengas que investigar.
3. Determinar si se necesita investigación preliminar
Decide si tu equipo se beneficiaría de la experiencia práctica con nuestras características de seguridad gratuitas antes de comenzar la prueba. Probar el análisis de código y el análisis de secretos en repositorios públicos puede ayudar a los nuevos usuarios a familiarizarse con las características principales de GitHub Advanced Security. Esto le permitirá centrar el período de prueba en repositorios privados y las características y controles avanzados disponibles en Secret Protection and Code Security.
Para obtener más información, consulte:
- Activar el escaneo de secretos para tu repositorio
- Establecimiento de la configuración predeterminada para el examen del código
- Habilitar el gráfico de dependencias
Las organizaciones en GitHub Team y GitHub Enterprise pueden ejecutar un informe gratuito para examinar su código para detectar secretos filtrados. Esto le ayuda a evaluar la exposición actual de los repositorios a secretos filtrados y muestra cuántas fugas de secretos existentes podrían haber sido evitadas por Secret Protection. Consulte Acerca de la seguridad secreta con GitHub.
4. Decidir qué organizaciones y repositorios probar
Por lo general, es mejor iniciar la prueba con una organización existente. Esto garantiza que puedes experimentar las características de los repositorios que conoces bien y dentro de un entorno de codificación conocido.
Si lo deseas, puedes agregar código u organizaciones de prueba más adelante. Sin embargo, ten en cuenta que las aplicaciones deliberadamente inseguras, como WebGoat, no son la mejor prueba. Pueden contener patrones de codificación que parecen no seguros, pero que code scanning determina que no se pueden explotar. Como resultado, code scanning puede notificar menos problemas en estos códigos base artificiales que otros escáneres de seguridad.
5. Define los criterios de evaluación para la prueba
Para cada necesidad u objetivo de la empresa que establezcas para la prueba, decide cómo medirás el éxito. Por ejemplo, si quieres aplicar el uso de características de seguridad, crea casos de prueba para las directivas y configuraciones de seguridad para confirmar que funcionan según lo previsto.
6. Iniciar la versión de prueba
Si ya usa GitHub Enterprise Cloud (como cliente de pago o como parte de una evaluación gratuita), consulte Configuración de una evaluación de GitHub Advanced Security.
De lo contrario, puede probar GitHub Advanced Security como parte de un ensayo de GitHub Enterprise Cloud. Consulte Configuración de una versión de prueba de GitHub Enterprise Cloud en la GitHub Enterprise Cloud documentación.
Nota:
GitHub Advanced Security es gratuito durante las pruebas, pero se le cobrarán los minutos de Actions utilizados por el análisis de código o cualquier otro flujo de trabajo.