セルフサービスの試用版は適切な選択肢ですか?
この記事は、専門家やパートナーの支援を受けずに、独自に GitHub Advanced Security の試用版を使い始めることを考えている organization を対象としています。 通常、これは中小規模の organization を示す状況です。
この記事は、GitHub Advanced Security の セルフサービス の試用版を計画する際に役立ちます。 次の両方に当てはまる場合、セルフサービスの試用版が適しています:
- 専門家やパートナーの支援を受けずに、独自に試用版を利用したいと考えています。 通常、これは中小規模の organization に最適です。
- クレジット カードまたは PayPal で支払いを行う既存の GitHub Enterprise Cloud ユーザーです。
この条件に該当しない場合は、試用版のサポートについてお問い合わせください。
- 専門家のサポートが必要な場合: Microsoft のチームにお問い合わせください。
- 請求書による支払いの場合: お客様の営業担当者にお問い合わせください。
1. 会社の目標を定義する
試用を始める前に、試用の目的を定義し、答えが必要な主な質問を特定しておくことをお勧めします。 これらの目標に重点を置くことで、検出を最大限に高め、アップグレードするかどうかを判断するために必要な情報を確実に得られるように試用を計画することができます。
自社が既に GitHub を使っている場合は、現在満たされていないニーズのうち、Secret Protection or Code Security で対応できる可能性があるものを検討してください。 現在のアプリケーションのセキュリティ態勢と長期的な目標も考慮する必要があります。 インスピレーションが必要な場合は、GitHub Well-Architected ドキュメントの「アプリケーション セキュリティの設計原則」を参照してください。
| 例のニーズ | 試用中に検討すべき機能 |
|---|---|
| セキュリティ機能の使用を適用する | Enterprise レベルのセキュリティ構成とポリシー。 「大規模なセキュリティ機能の有効化について」と「エンタープライズ ポリシー」を参照してください |
| カスタム アクセス トークンを保護する | secret scanning のカスタム パターン、プッシュ保護のための委任バイパス、有効性チェック。 「エンタープライズ試用版のお試し GitHub Secret Protection」を参照してください |
| 開発プロセスを定義および適用する | 依存関係のレビュー、自動トリアージ規則、ルールセット、ポリシー。 「依存関係の確認について」、「Dependabot 自動トリアージ ルールについて」、「ルールセットについて」、「エンタープライズ ポリシー」を参照してください |
| 技術的負債を大幅に削減する | セキュリティ キャンペーン。 「セキュリティ キャンペーンについて」をご覧ください。 |
| セキュリティ リスクの傾向の監視と追跡 | セキュリティの概要。 「セキュリティの分析情報の表示」を参照してください |
まだ GitHub を使っていない会社の場合、データ所在地、安全なアカウント管理、リポジトリの移行をプラットフォームで処理する方法など、その他の質問が生じる場合があります。 詳しくは、「GitHub Enterprise Cloud の概要」をご覧ください。
2. 試用チームのメンバーを特定する
GitHub Advanced Security を使うと、ソフトウェア開発ライフ サイクル全体にセキュリティ対策を統合できるため、開発サイクルのすべての領域の担当者を必ず含めることが重要です。 そうしないと、必要なすべてのデータが揃わないまま判断を下すリスクがあります。 試用版には、より広範囲のユーザーが参加できるように 50 件のライセンスが含まれています。
調査したい会社の各ニーズについて、代表者を決めておくことも役立つでしょう。
3. 予備調査が必要かどうかを判断する
試用版を使い始める前に、Microsoft の無料セキュリティ機能を実際に利用することがチームにとって有益かどうかを判断してください。 パブリック リポジトリ上でコード スキャンとシークレット スキャンをテストすると、新しいユーザーが GitHub Advanced Security のコア機能に慣れることができます。 こうすることで、試用期間中はプライベート リポジトリと、Secret Protection and Code Security で使用できる高度な機能や制御に集中できるようになります。
詳細については、以下を参照してください。 * リポジトリのシークレット スキャンの有効化 * コード スキャンの既定セットアップの構成 * 依存関係グラフの有効化
GitHub Team と GitHub Enterprise 上の organization は、無料レポートを実行してコードをスキャンし、漏えいしたシークレットを見つけることができます。 これにより、リポジトリの漏えいしたシークレットに対する現在の露出度を評価し、Secret Protection によって防止された可能性がある既存のシークレット漏えい数を確認できます。 「AUTOTITLE」を参照してください。
4. テストする organization とリポジトリを決定する
一般に、既存の organization で試用版を使い始めるのが最適です。 こうすることで、使い慣れたリポジトリと使い慣れたコーディング環境で機能を経験できます。
必要に応じて、後でテスト organization またはコードを追加できます。 ただし、WebGoat などの意図的に脆弱にしたアプリケーションは最適なテストではないことに注意してください。 一見すると脆弱に見えるコーディング パターンが含まれていても、code scanning によって悪用不可能と判断されることがあります。 その結果、このような人工コードベースで code scanning から報告される issue が他のセキュリティ スキャナーよりも少なくなる可能性があります。
5. 試用版の評価条件を定義する
試用版に設定した会社のニーズや目標ごとに、成功を測定する方法を決定します。 たとえば、セキュリティ機能の使用を適用する場合は、セキュリティ構成とポリシーのテスト ケースを作成し、期待どおりに機能することを確認します。
6. 試用版を使い始める
既に GitHub Enterprise Cloud を使っている場合 (有料のお客様として、または無料試用版の一部として) は、「GitHub Advanced Security の試用版を設定する」を参照してください。
それ以外の場合は、GitHub Enterprise Cloud の試用版の一部として GitHub Advanced Security を試用できます。 GitHub Enterprise Cloud ドキュメント の「GitHub Enterprise Cloud の試用版の設定」を参照してください。
メモ
GitHub Advanced Security は試用期間中は無料ですが、コード スキャンやその他のワークフローで使われる Actions の分数に対しては料金が発生します。