Uma avaliação de autoatendimento é ideal para você?
Este artigo destina-se a organizações que desejam iniciar uma avaliação de GitHub Advanced Security forma independente, sem a ajuda de um especialista ou parceiro. Normalmente, isso significa que sua organização é de pequeno ou médio porte.
Este artigo ajuda você a planejar uma avaliação de autoatendimento de GitHub Advanced Security. Uma avaliação de autoatendimento será ideal para você se ambos os itens a seguir forem verdadeiros:
- Você deseja realizar sua avaliação de forma independente, sem a ajuda de um especialista ou parceiro. Normalmente, isso funciona melhor para organizações de pequeno ou médio porte.
- Você é um cliente existente GitHub Enterprise Cloud que paga com cartão de crédito ou PayPal.
Caso contrário, entre em contato conosco para obter ajuda com sua avaliação.
- Se você quiser ajuda especializada: entre em contato com nossa equipe.
- Se você paga por fatura: entre em contato com seu representante de vendas.
1. Definir as metas da empresa
Antes de iniciar uma avaliação, defina a finalidade da avaliação e identifique as principais perguntas que precisa responder. Manter um foco claro nessas metas permitirá que você planeje uma avaliação que maximize descobertas e garanta que você tenha as informações necessárias para decidir se deseja ou não fazer upgrade.
Se sua empresa já usa GitHub, considere quais necessidades não são atendidas no momento que Secret Protection or Code Security pode endereçar. Considere também a atual postura de segurança do aplicativo e os objetivos de longo prazo. Para obter inspiração, consulte Os Princípios de Design para segurança do aplicativo na GitHub documentação bem arquiteta.
| É necessário um exemplo | Funcionalidades a explorar durante o período de teste |
|---|---|
| Impor o uso de recursos de segurança | Configurações e políticas de segurança de nível empresarial. Confira Sobre a habilitação de recursos de segurança em escala e Políticas empresariais |
| Proteger tokens de acesso personalizados | Padrões personalizados para secret scanning, bypass delegado para proteção por push e verificações de validade. Confira Explorando o teste empresarial de GitHub Secret Protection |
| Definir e impor um processo de desenvolvimento | Revisão de dependência, regras de triagem automática, conjuntos de regras e políticas. Confira Sobre a análise de dependência, Sobre as regras de triagem automática do Dependabot, Sobre os conjuntos de regras e Políticas empresariais |
| Reduzir a dívida técnica em escala | Campanhas de segurança. Consulte Sobre as campanhas de segurança na GitHub Enterprise Cloud documentação. |
| Monitorar e acompanhar tendências em riscos de segurança | Visão geral de segurança. Confira Exibir insights de segurança |
Se sua empresa ainda não usar GitHub , é provável que você tenha perguntas adicionais, incluindo como a plataforma lida com residência de dados, gerenciamento de conta segura e migração de repositório. Para saber mais, confira Introdução ao GitHub Enterprise Cloud.
2. Identificar os membros da equipe de avaliação
GitHub Advanced Security permite que você integre medidas de segurança ao longo do ciclo de vida de desenvolvimento de software, portanto, é importante garantir que você inclua representantes de todas as áreas do ciclo de desenvolvimento. Caso contrário, você corre o risco de tomar uma decisão sem ter todos os dados necessários. Uma avaliação inclui 50 licenças, o que fornece escopo para representação de uma gama ampla de pessoas.
Você também pode achar útil identificar um campeão para cada necessidade da empresa que você deseja investigar.
3. Determinar se uma pesquisa preliminar é necessária
Decida se sua equipe se beneficiará da experiência prática com nossos recursos de segurança gratuitos antes de começar sua avaliação. Testar a verificação de código e a verificação secreta em repositórios públicos pode ajudar novos usuários a se familiarizarem com os principais recursos de GitHub Advanced Security. Isso permitirá que você concentre seu período de avaliação em repositórios privados e nos recursos e controles avançados disponíveis em Secret Protection and Code Security.
Para obter mais informações, consulte:
- Habilitar a varredura de segredos para seu repositório
- Como definir a configuração padrão da verificação de código
- Habilitar o grafo de dependência
As organizações GitHub TeamGitHub Enterprise podem executar um relatório gratuito para verificar o código em busca de segredos vazados. Isso ajuda você a avaliar a exposição atual de seus repositórios a segredos vazados e mostra quantos vazamentos de segredo existentes poderiam ter sido evitados por Secret Protection. Consulte Sobre segurança secreta com GitHub.
4. Decidir quais organizações e repositórios testar
Geralmente, é melhor iniciar a avaliação com uma organização existente. Isso garante que você possa experimentar os recursos em repositórios que você conhece bem e dentro de um ambiente de codificação familiar.
Se quiser, você poderá adicionar organizações de teste ou código mais tarde. No entanto, lembre-se de que aplicativos deliberadamente inseguros, como o WebGoat, não são o melhor teste. Eles podem conter padrões de codificação que parecem não estar seguros, mas que determinam que code scanning não podem ser explorados. Como resultado, code scanning pode relatar menos problemas nessas bases de código artificiais do que outros scanners de segurança.
5. Definir os critérios de avaliação para a avaliação
Para cada necessidade ou meta da empresa definida para a avaliação, decida como você medirá o sucesso. Por exemplo, se você quiser impor o uso de recursos de segurança, crie casos de teste para configurações de segurança e políticas para confirmar se elas funcionam conforme o esperado.
6. Iniciar sua avaliação
Se você já usar GitHub Enterprise Cloud (como um cliente pagante ou como parte de uma avaliação gratuita), consulte Como configurar uma avaliação gratuita do GitHub Advanced Security.
Caso contrário, você poderá testar GitHub Advanced Security como parte de uma avaliação de GitHub Enterprise Cloud. Consulte Configurando uma avaliação do GitHub Enterprise Cloud.
Observação
GitHub Advanced Security é gratuito durante os testes, mas você será cobrado por todos os minutos de Ações usados na verificação de código ou em quaisquer outros fluxos de trabalho.