셀프 서비스 파일럿이 적합한지 확인해보세요.
이 문서는 전문가 또는 파트너의 GitHub Advanced Security 도움 없이 독립적으로 평가판을 시작하려는 조직을 위한 것입니다. 일반적으로 중소형 조직에 해당합니다.
이 문서는 셀프 서비스 평가판을 GitHub Advanced Security계획하는 데 도움이 됩니다. 셀프 서비스 파일럿은 다음 두 가지가 모두 해당할 경우 적합합니다.
- 전문가 또는 파트너의 도움 없이 독자적으로 파일럿을 진행합니다. 일반적으로 중소형 조직에 가장 적합합니다.
- 신용 카드 또는 PayPal 결제하는 기존 GitHub Enterprise Cloud 고객입니다.
이에 해당하지 않는 경우, 당사로 연락주시면 파일럿과 관련해 도움을 받으실 수 있습니다.
- 전문가의 도움을 원하시면 팀에 문의하세요.
- 청구서로 결제하는 경우, 영업 담당자에게 문의하세요.
1. 회사 목표 정의
파일럿을 시작하기 전에 파일럿의 목적을 정하고 답을 요하는 중요한 질문을 파악해야 합니다. 이러한 목표에 중점을 두면 검색을 극대화하고 업그레이드 여부를 결정하는 데 필요한 정보가 있도록 보장하는 파일럿을 계획할 수 있습니다.
회사에서 이미 사용 GitHub중인 경우 현재 충족되지 않은 Secret Protection or Code Security 요구 사항을 고려해야 합니다. 현재 애플리케이션 보안 상태와 장기적인 목표도 고려해야 합니다. 영감을 얻으려면 잘 설계된 설명서에서 애플리케이션 보안에GitHub 대한 디자인 원칙을 참조하세요.
| 예시 필요 | 파일럿 기간 동안 살펴볼 기능 |
|---|---|
| 보안 기능 사용 실시 | 엔터프라이즈 수준의 보안 구성 및 정책. |
[AUTOTITLE](/admin/managing-code-security/securing-your-enterprise/about-security-configurations) 및 [AUTOTITLE](/admin/enforcing-policies/enforcing-policies-for-your-enterprise/about-enterprise-policies)을 참조하세요. |
| 사용자 지정 액세스 토큰 보호 | secret scanning에 대한 사용자 지정 패턴, 푸시 보호를 위한 위임된 바이패스 및 유효성 검사. GitHub Secret Protection의 엔터프라이즈 평가판 살펴보기을(를) 참조하세요. | | 개발 프로세스를 정의하고 실행합니다. | 종속성 검토, 자동 심사 규칙, 규칙 집합, 정책. 종속성 검토 정보, Dependabot 자동 분류 규칙에 대한 설명, 규칙 세트에 대한 정보, 엔터프라이즈 정책을 참조하세요. | | 대규모 기술적인 문제 줄이기 | 보안 캠페인 설명서의 을 참조 GitHub Enterprise Cloud 하세요. | | 보안 위험의 추세 모니터링 및 추적 | 보안 개요. 보안 인사이트 보기을(를) 참조하세요. |
회사에서 아직 사용하지 GitHub 않는 경우 플랫폼이 데이터 상주, 보안 계정 관리 및 리포지토리 마이그레이션을 처리하는 방법을 비롯한 추가 질문이 있을 수 있습니다. 자세한 내용은 GitHub Enterprise Cloud 시작을(를) 참조하세요.
2. 파일럿 팀 구성원 파악하기
GitHub Advanced Security 를 사용하면 소프트웨어 개발 수명 주기 전반에 걸쳐 보안 조치를 통합할 수 있으므로 개발 주기의 모든 영역의 담당자를 포함시키는 것이 중요합니다. 그렇지 않으면 필요한 모든 데이터를 확보하지 못한 채 결정을 내려야 할 위험이 있습니다. 파일럿에는 다양한 구성원이 참여할 수 있는 범위를 제공하도록 50개의 라이선스가 포함되어 있습니다.
또한 조사하려는 각 회사의 요구사항에 맞는 주도 담당자를 지정하면 도움이 될 것입니다.
3. 사전 조사 필요 여부 결정
파일럿을 시작하기 이전에 팀이 무료 보안 기능에 대한 실습 경험에서 이익을 볼 것인지 결정합니다. 공용 리포지토리에서 코드 검사 및 비밀 검사를 테스트하면 새 사용자가 핵심 기능을 GitHub Advanced Security숙지할 수 있습니다. 이렇게 하면 평가판 기간을 프라이빗 리포지토리 및 에서 사용할 수 있는 고급 기능 및 컨트롤에 Secret Protection and Code Security집중할 수 있습니다.
자세한 내용은 다음을 참조하세요.
-
GitHub Team 및 GitHub Enterprise에 있는 조직은 코드를 스캔하여 유출된 비밀을 확인하는 무료 보고서를 실행할 수 있습니다. 이렇게 하면 리포지토리가 유출된 비밀에 대한 현재 노출을 평가하고 얼마나 많은 기존 비밀 누출이 방지 Secret Protection되었을 수 있는지를 확인할 수 있습니다. [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/about-secret-risk-assessment)을 참조하세요.
4. 테스트할 조직 및 리포지토리 결정
일반적으로 기존 조직에서 파일럿을 시작하는 것이 가장 좋습니다. 이렇게 하면 잘 이해하는 리포지토리와 친숙한 코딩 환경 내에서 기능을 경험할 수 있습니다.
원하는 경우, 후에 테스트 조직 또는 코드를 추가할 수 있습니다. 하지만 WebGoat과 같이 의도적으로 보안이 취약한 애플리케이션은 적절한 테스트 대상이 아니라는 사실을 알고 있어야 합니다. 코딩 패턴이 포함될 수 있는데, 이는 안전하지 않은 것처럼 보이지만 code scanning 악용할 수 없습니다. 따라서 code scanning 이러한 인공 코드베이스에서 다른 보안 스캐너보다 적은 수의 문제를 보고할 수 있습니다.
5. 파일럿을 위한 평가 조건 정의
파일럿에 설정한 각 회사의 요구사항 및 목표에 대한 성공을 측정하는 방법을 결정합니다. 예를 들어, 보안 기능을 사용하도록 적용하려면 보안 구성 및 정책에 대한 테스트 사례를 만들어 예상대로 작용하는지 확인합니다.
6. 파일럿 시작
이미 GitHub Enterprise Cloud 사용 중인 경우(유료 고객 또는 평가판의 일부로) GitHub Advanced Security 평가판 설정하기을 참조하세요.
그렇지 않으면 GitHub Advanced Security의 평가판의 일부로 GitHub Enterprise Cloud를 체험할 수 있습니다. 설명서의 GitHub Enterprise Cloud 평가판 설정.
참고
GitHub Advanced Security 은 평가판 중에 무료이지만 코드 검색 또는 다른 워크플로에서 사용하는 작업 시간(분)에 대해 요금이 청구됩니다.