Informationen zum Testen von GitHub Advanced Security
Du kannst GitHub Advanced Security unabhängig testen oder mit einer Fachkraft von GitHub oder einer Partnerorganisation zusammenarbeiten. Die primäre Zielgruppe für diese Artikel sind Personen, die ihre Testversion unabhängig planen und ausführen, in der Regel kleine und mittlere Organisationen.
Note
Obwohl GitHub Advanced Security während der Testversion kostenlos ist, fallen Gebühren für alle Actions-Minuten an. Dazu zählen Aktionsminuten, die vom standardmäßigen code scanning-Setup oder von anderen ausgeführten Workflows verwendet werden.
Vorhandene GitHub Enterprise Cloud-Benutzende
Sie können eine Testversion einrichten, wenn Sie GitHub Enterprise Cloud per Kreditkarte oder PayPal bezahlen oder wenn Sie bereits eine kostenlose Testversion von GitHub Enterprise Cloud nutzen. Weitere Informationen findest du unter Einrichten einer Testversion von GitHub Advanced Security.
Wenn du per Rechnung bezahlst, wende dich bei zu Testversionen von GitHub Advanced Security-Features für dein Unternehmen an Vertriebsteam von GitHub.
Benutzende mit anderen GitHub-Plänen
Du kannst GitHub Advanced Security mit einer Testversion von GitHub Enterprise Cloud testen. Weitere Informationen findest du unter Eine Testversion von GitHub Enterprise einrichten.
Beenden der Testversion
Du kannst die Testversion jederzeit durch den Kauf von GitHub Secret Protection or GitHub Code Security beenden. Wenn du GitHub Team oder GitHub Enterprise noch nicht verwendest, musst du deinen Plan upgraden. Alternativ kannst du die Testversion jederzeit kündigen.
Definieren der Unternehmensziele
Bevor du eine Testversion startest, solltest du den Zweck der Testversion definieren und die wichtigsten Fragen festlegen, für die du eine Antwort benötigst. Einen starken Fokus auf diese Ziele beizubehalten, ermöglicht es, eine Testversion zu planen, die die Ermittlung maximiert und sicherstellt, dass du über die erforderlichen Informationen verfügst, um zu entscheiden, ob ein Upgrade durchgeführt werden soll.
Wenn dein Unternehmen bereits GitHub verwendet, solltest du überlegen, welche Anforderungen derzeit nicht erfüllt werden, die Secret Protection or Code Security erfüllen könnte. Du solltest auch den aktuellen Anwendungssicherheitsstatus und langfristige Ziele berücksichtigen. Inspiration findest du in der GitHub-Dokumentation unter Entwurfsprinzipien für Anwendungssicherheit.
Beispielbedarf | Features, die während der Testversion auszuprobieren sind |
---|---|
Erzwingen der Verwendung von Sicherheitsfeatures | Weitere Informationen zu Sicherheitskonfigurationen und -richtlinien auf Unternehmensebene findest du unter Informationen zu Sicherheitskonfigurationen und Informationen zu Unternehmensrichtlinien. |
Schützen von benutzerdefinierten Zugriffstoken | Weitere Informationen zu benutzerdefinierten Mustern für secret scanning, der delegierten Umgehung für Pushschutz und Gültigkeitsprüfungen findest du unter Erkunden deiner Enterprise-Testversion von GitHub Secret Protection. |
Definieren und Erzwingen eines Entwicklungsprozesses | Weitere Informationen zu Abhängigkeitsüberprüfung, Autoselektierungsregeln, Regelsätzen und Richtlinien findest du unter Informationen zur Abhängigkeitsüberprüfung, Über Auto-Triage-Regeln von Dependabot, Informationen zu Regelsätzen und Informationen zu Unternehmensrichtlinien. |
Verringerung der technischen Schulden im großen Stil | Weitere Informationen zu Code scanning und Sicherheitskampagnen findest du unter Erkunden deiner Unternehmenstestversion von GitHub Code Security. |
Überwachen und Nachverfolgen von Trends bei Sicherheitsrisiken | Eine Sicherheitsübersicht findest du unter Einblicke in die Sicherheit anzeigen. |
Wenn dein Unternehmen GitHub noch nicht verwendet, hast du wahrscheinlich zusätzliche Fragen, z. B. wie die Plattform die Datenhaltung verarbeitet, zur sicheren Kontoverwaltung und zur Repositorymigration. Weitere Informationen finden Sie unter Erste Schritte mit GitHub Enterprise Cloud.
Zusammenstellen der Mitglieder deines Testteams
GitHub Advanced Security ermöglicht es dir, Sicherheitsmaßnahmen in den gesamten Lebenszyklus der Softwareentwicklung zu integrieren. Daher ist es wichtig, sicherzustellen, dass Vertreter aus allen Bereichen des Entwicklungszyklus einbezogen werden. Andernfalls riskierst du, eine Entscheidung zu treffen, ohne alle benötigten Daten zu haben. Eine Testversion umfasst 50 Lizenzen, wodurch eine Vielzahl an Personen repräsentiert werden kann.
Möglicherweise ist es auch hilfreich, einen Experten für jede Unternehmensanforderung zu ermitteln, den du untersuchen möchtest.
Ermitteln, ob vorbereitende Forschung erforderlich ist
Wenn Mitglieder deines Testteams die wichtigen Features von GitHub Advanced Security noch nicht verwendet haben, kann es hilfreich sein, in öffentlichen Repositorys eine Experimentierphase hinzuzufügen, bevor du eine Testversion startest. Viele der Hauptfeatures von code scanning und secret scanning können in öffentlichen Repositorys verwendet werden. Wenn du bereits mit den Kernfeatures vertraut bist, kannst du dich im Testzeitraum auf private Repositorys konzentrieren und die zusätzlichen Features und Steuerungen kennenlernen, die mit Secret Protection and Code Security verfügbar sind.
Weitere Informationen findest du unter Informationen zur Geheimnisüberprüfung, Informationen zu Codescans und Informationen zur Lieferkettensicherheit.
Organisationen mit GitHub Team und GitHub Enterprise einen kostenlosen Bericht ausführen, um den Code in der Organisation auf kompromittierte Geheimnisse zu scannen. Dies kann dir helfen, die aktuelle Gefahr von kompromittierten Geheimnissen in den Repositorys deiner Organisation einzuschätzen. Außerdem erfährst du, wie viele bestehende kompromittierte Geheimnisse durch Secret Protection hätten verhindert werden können. Weitere Informationen findest du unter Informationen zur Risikobewertung von Geheimnissen.
Vereinbaren der zu testenden Organisationen und Repositorys
Im Allgemeinen empfiehlt es sich, eine vorhandene Organisation für eine Testversion zu verwenden. Dadurch wird sichergestellt, dass du die Features in Repositorys testen kannst, die du gut kennst und die deine Programmierumgebung exakt repräsentieren. Nachdem du die Testversion gestartet hast, solltest du zusätzliche Organisationen mit Testcode erstellen, um die Erkundung fortzusetzen.
Beachte, dass absichtlich unsichere Anwendungen, z. B. WebGoat, Codierungsmuster enthalten können, die unsicher erscheinen, doch bei denen code scanning feststellt, dass sie nicht ausgenutzt werden können. Code scanning generiert in der Regel weniger Ergebnisse für künstlich unsicher gemachte Codebasen als andere statische Anwendungssicherheitsscanner.
Definieren der Bewertungskriterien für die Testversion
Bestimme für jede Unternehmensanforderung oder jedes Unternehmensziel, das du identifizierst, welche Kriterien gemessen werden, um festzustellen, ob diese erfüllt wurden oder nicht. Wenn beispielsweise die Verwendung von Sicherheitsfeatures erzwungen werden muss, kannst du eine Reihe von Testfällen für Sicherheitskonfigurationen und -richtlinien definieren, um sicher zu wissen, dass sie die Prozesse wie erwartet erzwingen.