Fase 3: Programas piloto

Acerca de los programas piloto

Te recomendamos que identifiques algunos proyectos o equipos de alto impacto para usarlos en un lanzamiento piloto de la GHAS. Esto permitirá que un grupo inicial dentro de la empresa se familiarice con la GHAS y cree bases sólidas para la GHAS antes de lanzarla en el resto de la empresa.

Los pasos de esta fase te ayudarán a habilitar la GHAS en tu empresa, comenzar a utilizar sus características y revisar tus resultados. Si trabaja con GitHub Professional Services, pueden proporcionar ayuda adicional durante este proceso mediante sesiones de integración, talleres de GHAS y solución de problemas según sea necesario.

Antes de que comiences tus proyectos piloto, te recomendamos que programes algunas reuniones para tus equipos, como una reunión inicial, una revisión de punto medio y una sesión de conclusión cuando se complete el piloto. Estas reuniones te ayudarán a realizar los ajustes conforme sean necesarios y garantizar así que tus equipos están listos y cuentan con el apoyo para completar el piloto con éxito.

Si aún no ha habilitado GHAS para su GitHub Enterprise Server instancia, consulte Habilitación de productos de GitHub Advanced Security para tu empresa.

Pilotaje de todas las GitHub Advanced Security características

Puede habilitar rápidamente las funciones de seguridad a gran escala mediante security configuration, un conjunto de configuraciones de habilitación de seguridad que puede aplicar a los repositorios de una organización. Puede personalizar las funciones de Advanced Security a nivel organizacional con global settings. Consulta Habilitación de características de seguridad a gran escala.

Pilotaje code scanning

Para habilitar code scanning en la GitHub Enterprise Server instancia, consulte Configuración la digitalización de código para el dispositivo.

Puede configurar rápidamente los valores por defecto para code scanning en varios repositorios de una organización utilizando la visión general de seguridad. Para más información, consulta Establecimiento de la configuración predeterminada para el examen de código a gran escala.

También puede optar por habilitar code scanning para todos los repositorios de una organización, pero se recomienda configurar code scanning en un subconjunto de repositorios de alto impacto para el programa piloto.

Para algunos lenguajes o sistemas de compilación, es posible que tenga que configurar en su lugar la configuración avanzada para code scanning para obtener una cobertura completa del código base. Sin embargo, la configuración avanzada requiere mucho más esfuerzo para configurar, personalizar y mantener, por lo que se recomienda habilitar primero la configuración predeterminada.

Si su empresa quiere usar otras herramientas de análisis de código de terceros con GitHubcode scanning, puede usar acciones para ejecutar esas herramientas dentro de GitHub. Como alternativa, puede cargar los resultados, que se generan mediante herramientas de terceros como archivos SARIF, en code scanning. Para más información, consulta Integración con herramientas existentes.

Pilotaje secret scanning

          GitHub examina los repositorios en busca de tipos conocidos de secretos para evitar el uso fraudulento de secretos que se han cometido accidentalmente.

Para habilitar el escaneo de secretos para su GitHub Enterprise Server instancia, consulte Configurar el escaneo de secretos para tu aplicativo.

Debe habilitar secret scanning y la protección push para cada proyecto piloto. Puede hacerlo con security configuration. Para más información, consulta Creación de una configuración de seguridad personalizada.

Si tienes previsto configurar un vínculo a un recurso en el mensaje que se muestra cuando un desarrollador intenta insertar un secreto bloqueado, ahora sería un buen momento para probar y empezar a mejorar las instrucciones que tienes previsto poner a disposición.

Empieza a revisar la actividad mediante la página de métricas de protección de inserción en Información general sobre seguridad. Para más información, consulta Métricas de protección de contra inserción del análisis de secretos.

Si ha recopilado patrones personalizados específicos de su empresa, especialmente los relacionados con los proyectos piloto secret scanning, puede configurarlos. Para más información, consulta Definición de patrones personalizados para el examen de secretos.

Para obtener información sobre cómo ver y cerrar alertas de secretos insertados en el repositorio, consulte Administración de alertas de examen de secretos.