この記事は、GitHub Advanced Security の大規模な導入に関するシリーズの一部です。 このシリーズの前の記事については「フェーズ 2: 大規模な有効化の準備」を参照してください。
パイロット プログラムについて
GHAS のパイロット ロールアウトで使用する影響の大きいプロジェクトまたはチームをいくつか特定することをお勧めします。 これにより、社内の最初のグループが GHAS に慣れ、GHAS に関する強固な基盤を構築してから、企業の残りの部分にロールアウトすることができます。
このフェーズのこれらの手順は、お客様の会社で GHAS を有効にし、その機能を使い始めて、結果を確認するのに役立ちます。 GitHub Professional Services と協力している場合は、担当者がオンボーディング セッション、GHAS ワークショップ、必要に応じたトラブルシューティングを通じて、このプロセス全体の追加の支援を提供できます。
パイロット プロジェクトを始める前に、最初のミーティング、中間レビュー、パイロット完了時の総括セッションなど、チームのミーティングをいくつかスケジュールすることをお勧めします。 これらのミーティングは、必要に応じて調整を行い、チームがパイロットを正常に完了できる状態で、準備を行いサポートを受けていることを確認するのに役立ちます。
GitHub Enterprise Server インスタンスに対して GHAS をまだ有効にしていない場合は、「自社で GitHub Advanced Security を有効にする」を参照してください。
GHAS 機能をリポジトリごとに、またはパイロットに参加しているすべての組織のすべてのリポジトリで有効にして、各パイロット プロジェクトについて GHAS を有効にする必要があります。 詳細については、「リポジトリのセキュリティと分析設定を管理する」または「組織のセキュリティおよび分析設定を管理する」を参照してください。
code scanning のパイロット
GitHub Enterprise Server インスタンスで code scanning を有効にするには、「アプライアンス用コードスキャンの構成」を参照してください。
セキュリティの概要を使用して、組織内の複数のリポジトリ全体で code scanning の既定のセットアップをすばやく構成できます。 詳しくは、「大規模なコード スキャンの既定のセットアップを構成する」を参照してください。
組織内のすべてのリポジトリに対して code scanning を有効にすることもできますが、パイロット プログラムでは影響の大きいリポジトリのサブセットに code scanning を構成することをお勧めします。
一部の言語またはビルド システムでは、代わりに code scanning の高度なセットアップを構成して、コードベースを完全にカバーすることが必要になる場合があります。 ただし、高度なセットアップでは、構成、カスタマイズ、および保守に非常に多くの労力が必要となるため、最初に既定のセットアップを有効にすることをお勧めします。
GitHub code scanning で他のサード パーティ製コード分析ツールを使用する場合は、アクションを使用して、GitHub 内でこれらのツールを実行できます。 または、サードパーティ ツールを使い SARIF ファイルとして生成した結果を code scanning にアップロードすることもできます。 詳しくは、「Code scanningと統合する」を参照してください。
secret scanning のパイロット
GitHub は、既知のタイプのシークレットのリポジトリを探して、誤ってコミットされたシークレットの不正使用を防止します。
GitHub Enterprise Server インスタンスでシークレットのスキャンを有効にするには、「アプライアンスのシークレットスキャンを設定する」を参照してください。
パイロット・プロジェクトごとに secret scanning を有効にする必要があります。これは、リポジトリごとに機能を有効にするか、プロジェクトに参加している組織のすべてのリポジトリに対して機能を有効にするかのいずれかです。 詳細については、「リポジトリのセキュリティと分析設定を管理する」または「組織のセキュリティおよび分析設定を管理する」を参照してください。
次に、パイロット プロジェクトごとにプッシュ保護を有効にします。
開発者がブロックされたシークレットをプッシュしようとしたときに表示されるメッセージ内のリソースへのリンクを構成する予定がある場合は、テストを開始して、使用可能にする予定のガイダンスの調整を開始することをお勧めします。
セキュリティの概要のプッシュ保護メトリック ページを使用して、レビュー活動を開始します。 詳しくは、「シークレット スキャン プッシュ保護のメトリックを表示する」を参照してください。
エンタープライズ固有のカスタム パターン、特に secret scanning のパイロットを行うプロジェクトに関連するパターンを照合した場合は、それらを構成できます。 詳しくは、「シークレット スキャンのカスタム パターンの定義」を参照してください。
リポジトリにチェックインしたシークレットのアラートを表示して閉じる方法については、「シークレット スキャンからのアラートの管理」を参照してください。
このシリーズの次の記事については「フェーズ 4: 内部ドキュメントを作成する」を参照してください。