フェーズ 3: パイロット プログラム

最初のロールアウトのパイロットに使用する影響の大きいいくつかのプロジェクトやチームから始めるとメリットが得られる場合があります。 これにより、社内の最初のグループが GHAS に慣れ、GHAS を有効にして構成する方法を学習し、GHAS に関する強固な基盤を構築してから、会社の残りの部分にロールアウトすることができます。

この記事で

ヒント

この記事は、大規模な GitHub Advanced Security の導入に関するシリーズの一部です。 このシリーズの前の記事については、「フェーズ 2: 大規模な有効化の準備」を参照してください。

パイロット プログラムについて

GHAS のパイロット ロールアウトで使用する影響の大きいプロジェクトまたはチームをいくつか特定することをお勧めします。 これにより、社内の最初のグループが GHAS に慣れ、GHAS に関する強固な基盤を構築してから、企業の残りの部分にロールアウトすることができます。

このフェーズのこれらの手順は、お客様の会社で GHAS を有効にし、その機能を使い始めて、結果を確認するのに役立ちます。 GitHub Professional Servicesを使用している場合は、オンボーディング セッション、GHAS ワークショップ、および必要に応じてトラブルシューティングを通じて、このプロセスを通じて追加の支援を提供できます。

パイロット プロジェクトを始める前に、最初のミーティング、中間レビュー、パイロット完了時の総括セッションなど、チームのミーティングをいくつかスケジュールすることをお勧めします。 これらのミーティングは、必要に応じて調整を行い、チームがパイロットを正常に完了できる状態で、準備を行いサポートを受けていることを確認するのに役立ちます。

          GitHub Enterprise Server インスタンスに対して GHAS をまだ有効にしていない場合は、「[AUTOTITLE](/admin/code-security/managing-github-advanced-security-for-your-enterprise/enabling-github-advanced-security-for-your-enterprise)」を参照してください。

すべての GitHub Advanced Security 機能のテスト

security configuration (組織内のリポジトリに適用できるセキュリティ有効化設定のコレクション) を使用して、大規模なセキュリティ機能をすばやく有効にすることができます。 Advanced Security を使用して、組織レベルで global settings 機能をカスタマイズできます。 「大規模なセキュリティ機能の有効化について」をご覧ください。

操縦 code scanning

          code scanning インスタンスでGitHub Enterprise Serverを有効にするには、[AUTOTITLE](/admin/code-security/managing-github-advanced-security-for-your-enterprise/configuring-code-scanning-for-your-appliance) を参照してください。

セキュリティの概要を使用して、組織内の複数のリポジトリ間で code scanning の既定のセットアップをすばやく構成できます。 詳しくは、「大規模なコード スキャンの既定のセットアップを構成する」をご覧ください。

組織内のすべてのリポジトリに対して code scanning を有効にすることもできますが、パイロット プログラムの影響の大きいリポジトリのサブセットに対して code scanning を構成することをお勧めします。

一部の言語またはビルド システムでは、代わりに code scanning の高度なセットアップを構成して、コードベースを完全にカバーすることが必要になる場合があります。 ただし、高度なセットアップでは、構成、カスタマイズ、および保守に非常に多くの労力が必要となるため、最初に既定のセットアップを有効にすることをお勧めします。

          GitHub
          code scanningで他のサード パーティ製コード分析ツールを使用する場合は、アクションを使用して、GitHub内でこれらのツールを実行できます。 または、サード パーティ製ツールによって SARIF ファイルとして生成された結果を code scanningにアップロードすることもできます。 詳しくは、「[AUTOTITLE](/code-security/code-scanning/integrating-with-code-scanning)」をご覧ください。

操縦 secret scanning

          GitHub は、誤ってコミットされたシークレットの不正使用を防ぐために、リポジトリで既知の種類のシークレットをスキャンします。



          GitHub Enterprise Server インスタンスのシークレット スキャンを有効にするには、[AUTOTITLE](/admin/code-security/managing-github-advanced-security-for-your-enterprise/configuring-secret-scanning-for-your-appliance) を参照してください。

パイロット プロジェクトごとに secret scanning 保護とプッシュ保護を有効にする必要があります。 これを行うには、 security configurationを使用します。 詳しくは、「カスタム セキュリティ構成を作成する」をご覧ください。

開発者がブロックされたシークレットをプッシュしようとしたときに表示されるメッセージ内のリソースへのリンクを構成する予定がある場合は、テストを開始して、使用可能にする予定のガイダンスの調整を開始することをお勧めします。

セキュリティの概要のプッシュ保護メトリック ページを使用して、レビュー活動を開始します。 詳しくは、「シークレット スキャンのプッシュ保護メトリック」をご覧ください。

エンタープライズ固有のカスタム パターン 、特に secret scanningパイロットプロジェクトに関連するカスタム パターンを照合した場合は、それらを構成できます。 詳しくは、「シークレット スキャンのカスタム パターンの定義」をご覧ください。

リポジトリにチェックインしたシークレットのアラートを表示して閉じる方法については、「シークレット スキャン アラートの管理」を参照してください。

ヒント

このシリーズの次の記事については、「フェーズ 4: 内部ドキュメントを作成する」を参照してください。