Подходит ли для вас самостоятельная пробная версия?
Эта статья предназначена для организаций, которые хотят начать пробную версию GitHub Advanced Security независимо, без помощи эксперта или партнера. Как правило, это означает, что вы небольшая или средняя организация.
Эта статья поможет вам спланировать самостоятельную **** пробную версию GitHub Advanced Security. Пробная версия самообслуживания подходит для вас, если оба из следующих вариантов верны:
- Вы хотите провести пробную проверку независимо, без помощи эксперта или партнера. Как правило, это лучше подходит для небольших или средних организаций.
- Вы являетесь существующим клиентом GitHub Enterprise Cloud с оплатой кредитной карты или PayPal.
В противном случае обратитесь за помощью к пробной версии.
- Если вам нужна помощь эксперта: обратитесь к нашей команде.
- При оплате по счету: обратитесь к представителю по продажам.
1. Определение целей организации
Перед началом пробной версии необходимо определить назначение пробной версии и определить ключевые вопросы, которые необходимо ответить. Поддержание строгого фокуса на этих целях позволит вам запланировать пробную версию, которая максимизирует обнаружение и гарантирует, что у вас есть информация, необходимая для принятия решения о том, следует ли обновить.
Если ваша компания уже использует GitHub, рассмотрите, какие потребности в настоящее время не учитываются в Secret Protection or Code Security. Вы также должны рассмотреть текущую строю безопасности приложений и долгосрочные цели. Дополнительные сведения см. в статье "Принципы разработки для безопасности приложений" в документации по GitHub.
| Пример необходимости | Функции для изучения во время пробной версии |
|---|---|
| Принудительное использование функций безопасности | Конфигурации и политики безопасности корпоративного уровня. См. [раздел AUTOTITLE и Сведения о включении функций безопасности в масштабе](/admin/enforcing-policies/enforcing-policies-for-your-enterprise/about-enterprise-policies) |
| Защита пользовательских маркеров доступа | Пользовательские шаблоны для secret scanning, делегированный обход для защиты от отправки и проверки действительности. См. раздел AUTOTITLE |
| Определение и применение процесса разработки | Проверка зависимостей, правила автоматической сортировки, наборы правил и политики. См. раздел AUTOTITLE, AUTOTITLE[, AUTOTITLE и Сведения о наборе правил](/admin/enforcing-policies/enforcing-policies-for-your-enterprise/about-enterprise-policies) |
| Сокращение технического долга в масштабе | Кампании по безопасности. См. раздел [AUTOTITLE. |
| Мониторинг и отслеживание тенденций в рисках безопасности | Общие сведения о безопасности. См. раздел AUTOTITLE |
Если ваша компания еще не использует GitHub еще, у вас могут возникнуть дополнительные вопросы, в том числе о том, как платформа обрабатывает размещение данных, безопасное управление учетными записями и миграцию репозитория. Дополнительные сведения см. в разделе Начало работы с GitHub Enterprise Cloud.
2. Определение членов пробной команды
GitHub Advanced Security позволяет интегрировать меры безопасности в течение жизненного цикла разработки программного обеспечения, поэтому важно обеспечить включение представителей всех областей цикла разработки. В противном случае вы рискуете принять решение без наличия всех необходимых данных. Пробная версия включает в себя 50 лицензий, которые предоставляют область представления от широкого спектра людей.
Вы также можете найти полезно определить чемпиона для каждой компании, необходимой для изучения.
3. Определение необходимости предварительного исследования
Определите, будет ли ваша команда воспользоваться практическим опытом работы с нашими функциями бесплатной безопасности перед началом пробной версии. Тестирование сканирования кода и проверки секретов в общедоступных репозиториях может помочь новым пользователям ознакомиться с основными функциями GitHub Advanced Security. Это позволит сосредоточиться на пробном периоде на частных репозиториях и расширенных функциях и элементах управления, доступных в Secret Protection and Code Security.
Дополнительные сведения можно найти здесь * Включение проверки секретов для репозитория * Настройка настройки по умолчанию для сканирования кода * Включение графа зависимостей
Организации на GitHub Team и GitHub Enterprise могут запускать бесплатный отчет для сканирования кода для утечки секретов. Это помогает оценить текущее воздействие репозиториев на утечку секретов и показывает, сколько существующих утечек секретов можно было предотвратить с помощью Secret Protection. См. О секретной безопасности с GitHub.
4. Определите, какие организации и репозитории необходимо протестировать
Как правило, рекомендуется начать пробную версию с существующей **** организацией. Это гарантирует, что функции в репозиториях хорошо известны и в знакомых средах программирования.
Если вы хотите, можно добавить тестовые организации или код позже. Однако помните, что намеренно небезопасные приложения, такие как WebGoat, не являются лучшим тестом. Они могут содержать шаблоны кода, которые, как представляется, небезопасны, но какие code scanning определяет, нельзя использовать. В результате code scanning может сообщать о меньшем количестве проблем в этих искусственных базах кода, чем другие сканеры безопасности.
5. Определите критерии оценки для пробной версии
Для каждой компании, необходимой или цели, заданной для пробной версии, определите, как вы будете измерять успех. Например, если вы хотите применить функции безопасности, создайте тестовые варианты для конфигураций и политик безопасности, чтобы убедиться, что они работают должным образом.
6. Запуск пробной версии
Если вы уже используете GitHub Enterprise Cloud (в качестве платного клиента или в рамках бесплатной пробной версии), см . раздел AUTOTITLE.
В противном случае можно пробную версию GitHub Advanced Security в рамках пробной версии GitHub Enterprise Cloud. См. раздел Настройка пробной версии GitHub Enterprise Cloud в документации GitHub Enterprise Cloud документации.
Примечание.
GitHub Advanced Security предоставляется бесплатно во время пробных версий, но плата за любые минуты действий, используемых сканированием кода или другими рабочими процессами.