Tip
Este artículo forma parte de una serie sobre la adopción de GitHub Advanced Security a escala. Para obtener el artículo anterior de esta serie, consulta Fase 2: Prepararse para la habilitación a escala.
Acerca de los programas piloto
Te recomendamos que identifiques algunos proyectos o equipos de alto impacto para usarlos en un lanzamiento piloto de la GHAS. Esto permitirá que un grupo inicial dentro de la empresa se familiarice con la GHAS y cree bases sólidas para la GHAS antes de lanzarla en el resto de la empresa.
Los pasos de esta fase te ayudarán a habilitar la GHAS en tu empresa, comenzar a utilizar sus características y revisar tus resultados. Si estás trabajando con los GitHub Professional Services, estos pueden proporcionarte ayuda adicional en este proceso mediante sesiones de integración, talleres de GHAS y solución de problemas, conforme lo requieras.
Antes de que comiences tus proyectos piloto, te recomendamos que programes algunas reuniones para tus equipos, como una reunión inicial, una revisión de punto medio y una sesión de conclusión cuando se complete el piloto. Estas reuniones te ayudarán a realizar los ajustes conforme sean necesarios y garantizar así que tus equipos están listos y cuentan con el apoyo para completar el piloto con éxito.
Pilotar todas las características de GitHub Advanced Security
Puedes habilitar rápidamente las características de seguridad a gran escala con la GitHub-recommended security configuration, una colección de valores de configuración de habilitación de la seguridad que puedes aplicar a los repositorios de una organización. A continuación, puedes personalizar aún más las características de Advanced Security a nivel de organización con global settings. Consulta Habilitación de características de seguridad a gran escala.
Prueba piloto de code scanning
Puedes configurar rápidamente la configuración predeterminada para code scanning en varios repositorios de una organización con información general sobre seguridad. Para más información, consulta Establecimiento de la configuración predeterminada para el examen de código a gran escala.
También puede habilitar code scanning para todos los repositorios de una organización, pero se recomienda configurar code scanning en un subconjunto de repositorios de alto impacto para el programa piloto.
Para algunos lenguajes o sistemas de compilación, es posible que tenga que configurar en su lugar la configuración avanzada para code scanning para obtener una cobertura completa del código base. Sin embargo, la configuración avanzada requiere mucho más esfuerzo para configurar, personalizar y mantener, por lo que se recomienda habilitar primero la configuración predeterminada.
Si su empresa quiere usar otras herramientas de análisis de código de terceros con GitHub code scanning, puede usar acciones para ejecutar esas herramientas en GitHub. Como alternativa, puede cargar los resultados, que las herramientas de terceros generan como archivos SARIF, en code scanning. Para más información, consulta Integrarse con el escaneo de código.
Prueba piloto de secret scanning
GitHub escanea repositorios para encontrar tipos conocidos de secretos para prevenir el uso fraudulento de aquellos que se confirmaron por accidente.
Necesitas habilitar secret scanning y la protección push para cada proyecto piloto. Puedes hacerlo con GitHub-recommended security configuration o puedes crear un custom security configuration. Para más información, consulta Aplicación de la configuración de seguridad recomendada por GitHub en su organización y Creación de una configuración de seguridad personalizada.
Si tienes previsto configurar un vínculo a un recurso en el mensaje que se muestra cuando un desarrollador intenta insertar un secreto bloqueado, ahora sería un buen momento para probar y empezar a mejorar las instrucciones que tienes previsto poner a disposición.
Empieza a revisar la actividad mediante la página de métricas de protección de inserción en Información general sobre seguridad. Para más información, consulta Visualización de las métricas para la protección de la inserción del examen de secretos.
Si has intercalado patrones personalizados específicos de tu empresa, especialmente en relación con los proyectos de la prueba piloto de secret scanning, puedes configurarlos. Para más información, consulta Definición de patrones personalizados para el examen de secretos.
Para información sobre cómo ver y cerrar alertas de secretos insertados en el repositorio, consulta Administración de alertas del examen de secretos.
Tip
Para ver el siguiente artículo de esta serie, consulta Fase 4: Creación de documentación interna.