セルフサービスの試用版は適切な選択肢ですか?
この記事は、専門家やパートナーの助けを借りずに、 GitHub Advanced Security の試用を独立して開始したい組織向けです。 通常、これは中小規模の organization を示す状況です。
この記事は、**** のGitHub Advanced Security試用版の計画に役立ちます。 次の両方に当てはまる場合、セルフサービスの試用版が適しています:
- 専門家やパートナーの支援を受けずに、独自に試用版を利用したいと考えています。 通常、これは中小規模の organization に最適です。
- クレジット カードまたはPayPalで支払う既存の GitHub Enterprise Cloud 顧客です。
この条件に該当しない場合は、試用版のサポートについてお問い合わせください。
- 専門家のサポートが必要な場合: Microsoft のチームにお問い合わせください。
- 請求書による支払いの場合: お客様の営業担当者にお問い合わせください。
1. 会社の目標を定義する
試用を始める前に、試用の目的を定義し、答えが必要な主な質問を特定しておくことをお勧めします。 これらの目標に重点を置くことで、検出を最大限に高め、アップグレードするかどうかを判断するために必要な情報を確実に得られるように試用を計画することができます。
会社で既に GitHubを使用している場合は、 Secret Protection or Code Security が対処できる現在のニーズが満たされていないかどうかを検討してください。 現在のアプリケーションのセキュリティ態勢と長期的な目標も考慮する必要があります。 ヒントについては、適切に設計されたドキュメントの「GitHub」を参照してください。
| 例のニーズ | 試用中に検討すべき機能 |
|---|---|
| セキュリティ機能の使用を適用する | Enterprise レベルのセキュリティ構成とポリシー。 「大規模なセキュリティ機能の有効化について」と「エンタープライズ ポリシー」を参照してください |
| カスタム アクセス トークンを保護する |
secret scanningのカスタムパターン、プッシュ保護の委譲バイパス、および有効性チェック。 「[AUTOTITLE](/code-security/trialing-github-advanced-security/explore-trial-secret-scanning)」を参照してください |
| 開発プロセスを定義および適用する | 依存関係のレビュー、自動トリアージ規則、ルールセット、ポリシー。 「依存関係の確認について」、「Dependabot 自動トリアージ ルールについて」、「ルールセットについて」、「エンタープライズ ポリシー」を参照してください | | 技術的負債を大幅に削減する | セキュリティ キャンペーン。 GitHub Enterprise Cloud を参照してください。 | | セキュリティ リスクの傾向の監視と追跡 | セキュリティの概要。 「セキュリティの分析情報の表示」を参照してください |
会社でまだ GitHub を使用していない場合は、プラットフォームでのデータ所在地の処理方法、セキュリティで保護されたアカウント管理、リポジトリの移行など、追加の質問が発生する可能性があります。 詳しくは、「GitHub Enterprise Cloud の概要」をご覧ください。
2. 試用チームのメンバーを特定する
GitHub Advanced Security を使用すると、ソフトウェア開発ライフサイクル全体にわたってセキュリティ対策を統合できるため、開発サイクルのすべての領域の代表者を確実に含める必要があります。 そうしないと、必要なすべてのデータが揃わないまま判断を下すリスクがあります。 試用版には、より広範囲のユーザーが参加できるように 50 件のライセンスが含まれています。
調査したい会社の各ニーズについて、代表者を決めておくことも役立つでしょう。
3. 予備調査が必要かどうかを判断する
試用版を使い始める前に、Microsoft の無料セキュリティ機能を実際に利用することがチームにとって有益かどうかを判断してください。 パブリック リポジトリでのコード スキャンとシークレット スキャンのテストは、新しいユーザーが GitHub Advanced Securityのコア機能に慣れるのに役立ちます。 これにより、試用期間をプライベート リポジトリと、 Secret Protection and Code Securityで利用できる高度な機能とコントロールに集中できます。
詳細については、以下を参照してください。
-
GitHub TeamおよびGitHub Enterpriseの組織は、無料のレポートを実行して、コードで漏洩したシークレットをスキャンできます。 これにより、漏洩したシークレットに対するリポジトリの現在の露出を評価し、 Secret Protectionによって防止された可能性がある既存のシークレット リークの数を示すのに役立ちます。 [「AUTOTITLE」を](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/about-secret-risk-assessment)参照してください。
4. テストする organization とリポジトリを決定する
一般に、既存の organization で試用版を使い始めるのが最適です。 こうすることで、使い慣れたリポジトリと使い慣れたコーディング環境で機能を経験できます。
必要に応じて、後でテスト organization またはコードを追加できます。 ただし、WebGoat などの意図的に脆弱にしたアプリケーションは最適なテストではないことに注意してください。 セキュリティで保護されていないように見えるが、 code scanning が悪用できないと判断するコーディング パターンが含まれている可能性があります。 その結果、 code scanning は、これらの人工コードベースで報告される問題が、他のセキュリティ スキャナーよりも少なくなる可能性があります。
5. 試用版の評価条件を定義する
試用版に設定した会社のニーズや目標ごとに、成功を測定する方法を決定します。 たとえば、セキュリティ機能の使用を適用する場合は、セキュリティ構成とポリシーのテスト ケースを作成し、期待どおりに機能することを確認します。
6. 試用版を使い始める
GitHub Enterprise Cloudを既に使用している場合 (有料の顧客または無料試用版の一部として) は、[AUTOTITLE](/code-security/trialing-github-advanced-security/trial-advanced-security) を参照してください。
それ以外の場合は、GitHub Advanced Securityの試用版の一部として、GitHub Enterprise Cloudを試すことができます。 ドキュメントの 。
メモ
GitHub Advanced Security は評価版中は無料ですが、コード スキャンまたはその他のワークフローで使用されたアクション分に対して課金されます。