Ist eine Self-Service-Testversion für dich geeignet?
Dieser Artikel richtet sich an Organisationen, die eine Testversion von GitHub Advanced Security unabhängig und ohne Hilfe eines Experten oder Partners beginnen möchten. In der Regel handelt es sich dabei um kleine oder mittlere Organisationen.
Dieser Artikel hilft Ihnen bei der Planung einer Selbstbedienungs-Testversion von GitHub Advanced Security. Eine Self-Service-Testversion ist in den folgenden beiden Fällen für dich geeignet:
- Du möchtest deine Testversion unabhängig und ohne die Hilfe von Experten oder Partnern durchführen. In der Regel funktioniert das am besten für kleine oder mittlere Organisationen.
- Sie sind ein bestehender GitHub Enterprise Cloud Kunde, der per Kreditkarte oder PayPal bezahlt.
Wende dich andernfalls an uns, um Hilfe bei deiner Testversion zu erhalten.
- Wenn du Hilfe von Experten benötigst: Wende dich an unser Team.
- Wenn du per Rechnung bezahlst: Wende dich an deinen Vertriebsmitarbeiter.
1. Definieren der Unternehmensziele
Bevor du eine Testversion startest, solltest du den Zweck der Testversion definieren und die wichtigsten Fragen festlegen, für die du eine Antwort benötigst. Einen starken Fokus auf diese Ziele beizubehalten, ermöglicht es, eine Testversion zu planen, die die Ermittlung maximiert und sicherstellt, dass du über die erforderlichen Informationen verfügst, um zu entscheiden, ob ein Upgrade durchgeführt werden soll.
Wenn Ihr Unternehmen bereits GitHub verwendet, sollten Sie berücksichtigen, welche Anforderungen derzeit nicht erfüllt sind, die Secret Protection or Code Security möglicherweise erfüllen könnte. Du solltest auch den aktuellen Anwendungssicherheitsstatus und langfristige Ziele berücksichtigen. Inspiration finden Sie in der gut gestalteten Dokumentation unter GitHub.
| Beispiel Anforderung | Funktionen, die während des Tests entdeckt werden sollen |
|---|---|
| Erzwingen der Verwendung von Sicherheitsfeatures | Sicherheitskonfigurationen und -richtlinien auf Unternehmensebene. Weitere Informationen findest du unter Informationen zum Aktivieren von Sicherheitsfunktionen in großem Umfang und Unternehmensrichtlinien. |
| Schützen von benutzerdefinierten Zugriffstoken | Benutzerdefinierte Muster für secret scanning, delegierter Bypass für Pushschutz und Gültigkeitsprüfungen. Weitere Informationen findest du unter Erkundung Ihrer Unternehmens-Testversion GitHub Secret Protection. |
| Definieren und Erzwingen eines Entwicklungsprozesses | Abhängigkeitsüberprüfung, Regeln für die automatische Selektierung, Regelsätze und Richtlinien. Weitere Informationen findest du unter Informationen zur Abhängigkeitsüberprüfung, Über Auto-Triage-Regeln von Dependabot, Informationen zu Regelsätzen und Unternehmensrichtlinien. |
| Verringerung der technischen Schulden im großen Stil | Sicherheitskampagnen Siehe Informationen zu Sicherheitskampagnen in der GitHub Enterprise Cloud Dokumentation. |
| Überwachen und Nachverfolgen von Trends bei Sicherheitsrisiken | Sicherheitsübersicht. Weitere Informationen findest du unter Einblicke in die Sicherheit anzeigen. |
Wenn Ihr Unternehmen GitHub noch nicht verwendet, haben Sie wahrscheinlich zusätzliche Fragen, z. B. wie die Plattform mit Datenresidenz umgeht, die sichere Kontoverwaltung gewährleistet und die Repositorymigration verarbeitet. Weitere Informationen finden Sie unter Erste Schritte mit GitHub Enterprise Cloud.
2. Zusammenstellen der Mitglieder deines Testteams
GitHub Advanced Security ermöglicht es Ihnen, Sicherheitsmaßnahmen im gesamten Lebenszyklus der Softwareentwicklung zu integrieren, daher ist es wichtig, sicherzustellen, dass Sie Vertreter aus allen Bereichen Ihres Entwicklungszyklus einbeziehen. Andernfalls riskierst du, eine Entscheidung ohne alle benötigten Daten zu treffen. Eine Testversion umfasst 50 Lizenzen, wodurch eine Vielzahl an Personen repräsentiert werden kann.
Möglicherweise ist es auch hilfreich, einen Experten für jede Unternehmensanforderung zu ermitteln, den du untersuchen möchtest.
3. Ermitteln, ob vorbereitende Forschung erforderlich ist
Entscheide vor dem Begin der Testversion, ob dein Team von praktischen Erfahrungen mit unseren kostenlosen Sicherheitsfeatures profitieren würde. Das Testen von Code-Scanning und Secret-Scanning auf öffentlichen Repositories kann neuen Benutzern helfen, sich mit den Kernfunktionen von GitHub Advanced Security vertraut zu machen. Auf diese Weise können Sie Ihren Testzeitraum auf private Repositories sowie auf die erweiterten Features und Steuerelemente konzentrieren, die in Secret Protection and Code Security verfügbar sind.
Weitere Informationen finden Sie unter:
- Geheime Scans für Ihr Repository aktivieren
- Konfigurieren des Standardsetups für das Code-Scanning
- Aktivieren des Abhängigkeitsdiagramms
Organisationen auf GitHub Team und GitHub Enterprise können einen kostenlosen Bericht ausführen, um ihren Code nach veröffentlichten Geheimnissen zu durchsuchen. Auf diese Weise können Sie die aktuelle Anfälligkeit Ihrer Repositorys für offengelegte Geheimnisse einschätzen und es zeigt, wie viele der bestehenden Offenlegungen von Geheimnissen durch Secret Protection hätten verhindert werden können. Siehe Informationen zur geheimen Sicherheit mit GitHub.
4. Festlegen der Tests für Organisationen und Repositorys
Es empfiehlt sich im Allgemeinen, die Testversion mit einer vorhandenen Organisation zu starten. Dadurch wird sichergestellt, dass du die Features in vertrauten Repositorys und einer vertrauten Programmierumgebung testen kannst.
Bei Bedarf kannst du Testorganisationen oder Code später hinzufügen. Beachte jedoch, dass absichtlich unsichere Anwendungen wie WebGoat nicht für Tests geeignet sind. Sie können Codierungsmuster enthalten, die zwar unsicher erscheinen, deren Ausnutzbarkeit jedoch von code scanning als nicht möglich festgestellt wird. Daher meldet code scanning möglicherweise weniger Probleme in diesen künstlichen Codebasen als andere Sicherheitsscanner.
5. Definieren der Bewertungskriterien für die Testversion
Entscheide für jedes Unternehmen, das du für die Testversion festgelegt hast, wie du den Erfolg messen möchtest. Wenn du beispielsweise die Verwendung von Sicherheitsfeatures erzwingen möchtest, erstelle Testfälle für Sicherheitskonfigurationen und -richtlinien, um zu überprüfen, dass diese wie erwartet funktionieren.
6. Starten der Testversion
Wenn Sie bereits (als kostenpflichtiger Kunde oder als Teil einer kostenlosen Testversion) verwenden GitHub Enterprise Cloud , lesen Sie Einrichten einer Testversion von GitHub Advanced Security.
Andernfalls können Sie GitHub Advanced Security als Teil eines Tests von GitHub Enterprise Cloud ausprobieren. Siehe Einrichten einer Testversion von GitHub Enterprise Cloud.
Hinweis
GitHub Advanced Security ist während der Testversion kostenlos, aber Sie werden für alle Aktionsminuten berechnet, die von der Codeüberprüfung oder anderen Workflows verwendet werden.