Sugerencia
Este artículo forma parte de una serie sobre la adopción de GitHub Advanced Security a escala. Para ver la introducción a esta serie, consulta Introducción a la adopción de GitHub Advanced Security a escala.
Establecimiento de objetivos claros para el lanzamiento de tu empresa
Para crear una base para la dirección del lanzamiento de tu empresa, describe los objetivos de GHAS dentro de tu empresa y comunícalos a tu equipo. Los objetivos pueden ser simples o complejos, siempre y cuando el equipo esté alineado. Si necesita ayuda con sus objetivos, GitHub Professional Services puede proporcionar recomendaciones basadas en nuestra experiencia con su empresa y otros clientes.
Aquí tienes algunos ejemplos de alto nivel de cómo podrían verse tus metas para implementar la GHAS:
- Prevención de la filtración de secretos: muchas empresas quieren evitar que se filtre información crítica, como claves de software o datos financieros.
- Satisfacción de los requisitos de cumplimiento: por ejemplo, muchas empresas de asistencia sanitaria usan GHAS para evitar la exposición de PHI (información de salud personal).
- Reducción del número de vulnerabilidades: esto puede ser general o porque la empresa se haya visto afectada recientemente por alguna vulnerabilidad significativa, que consideres que se podría haber evitado con una herramienta como GHAS.
- Identificación de los repositorios de riesgo alto: es posible que algunas empresas solo quieran centrarse en los repositorios que contengan el mayor riesgo, lo que les permite reducir el riesgo corrigiendo las vulnerabilidades en su código y en su cadena de suministro.
- Aumento de las tasas de corrección: para evitar que se acumule la deuda de seguridad, puede que quieras impulsar la adopción de los hallazgos de los desarrolladores y garantizar que estas vulnerabilidades se corrigen de forma oportuna.
Lidera el lanzamiento con tus grupos de seguridad y desarrollo
Las empresas que implican a sus equipos de seguridad y desarrollo en sus lanzamientos de GHAS tienden a ser más exitosas que las empresas que solo implican a su grupo de seguridad y esperan a que el piloto se haya llevado a cabo para incluir a los equipos de desarrollo.
La GHAS lleva un enfoque centrado en los desarrolladores para abordar la seguridad del software, integrándose fácilmente en el flujo de trabajo de estos. Tener una representación clave de tu grupo de desarrollo en las fases tempranas del proceso disminuirá el riesgo del lanzamiento y fomentará la participación organizacional.
La participación de los grupos de desarrollo al principio, idealmente desde el momento de la compra, ayuda a las empresas a utilizar GHAS para abordar problemas de seguridad en fases tempranas del proceso de desarrollo. Cuando ambos grupos trabajan juntos, logran la alineación al principio del proceso, eliminan los silos, crean y fortalecen sus relaciones de trabajo y asumen más responsabilidad en el lanzamiento.
Información sobre GHAS
Para establecer expectativas realistas para el lanzamiento, asegúrate de que todas las partes interesadas comprendan los siguientes hechos clave sobre el funcionamiento de GHAS.
1. La GHAS es una suite de herramientas de seguridad que requiere de una participación activa para proteger tu código
La GHAS es una suite de herramientas que incrementa su valor cuando la configuras, mantienes, utilizas en flujos de trabajo diariamente y la combinas con otras herramientas.
2. GHAS requerirá ajustes desde el momento en que se pone en funcionamiento.
Después de configurar la GHAS en los repositorios, deberás configurar la GHAS para satisfacer las necesidades de tu empresa. Por ejemplo:
- La configuración predeterminada para code scanning detecta automáticamente los idiomas que se van a examinar, pero es posible que tenga que personalizar otros aspectos de la configuración, como el modelo de amenazas de code scanning la aplicación para ajustar los resultados.
-
Secret scanning detecta automáticamente los patrones usados por muchos sistemas usados habitualmente, pero es posible que desee agregar patrones personalizados para detectar tokens y otros secretos usados por herramientas internas.
3. Las herramientas de la GHAS son más eficaces cuando se usan juntas e integradas en el programa de seguridad de aplicaciones
La GHAS tiene su mayor efectividad cuando se utilizan todas las herramientas en conjunto. La eficacia del programa de seguridad de aplicaciones mejora aún más mediante la integración de la GHAS con otras herramientas y actividades, como las pruebas de penetración y los análisis dinámicos. Te recomendamos que siempre utilices capas de protección múltiples.
Algunas empresas emplean consultas CodeQL personalizadas para personalizar y orientar los resultados del escaneo.
Code scanning es impulsado por CodeQL, el motor de análisis de código más potente del mundo. Para muchos de nuestros clientes, el conjunto de consultas base y las consultas adicionales disponibles en la comunidad son más que suficientes. Sin embargo, otras empresas pueden requerir consultas personalizadas CodeQL para dirigirse a resultados diferentes o reducir falsos positivos.
Si su empresa está interesada en consultas personalizadas CodeQL, se recomienda completar primero el despliegue y la implementación de GHAS. A continuación, cuando su empresa esté lista, GitHub Professional Services puede ayudarle a navegar por sus requisitos y asegurarse de que su empresa necesita consultas personalizadas.
5. CodeQL examina todo el código base, no solo los cambios realizados en una solicitud de incorporación de cambios.
Cuando code scanning se ejecuta desde una solicitud de incorporación de cambios, el examen incluirá el código base completo y no solo los cambios realizados en la solicitud de incorporación de cambios. El análisis de todo el código base es un paso importante para garantizar que los cambios se revisaron contra todas las interacciones en el código base.
Sugerencia
Para ver el siguiente artículo de esta serie, consulta Fase 2: Prepararse para la habilitación a escala.