Phase 1 : Aligner sur votre stratégie de déploiement et vos objectifs

Définir des objectifs clairs pour le déploiement au sein de votre entreprise

Pour créer une base pour la direction du déploiement de votre entreprise, décrivez les objectifs de GHAS au sein de votre entreprise et communiquez ces objectifs à votre équipe. Vos objectifs peuvent être simples ou complexes, tant que votre équipe est alignée. Si vous avez besoin d’aide pour vos objectifs, GitHub Professional Services pouvez fournir des recommandations basées sur notre expérience avec votre entreprise et d’autres clients.

Voici quelques exemples schématiques de ce à quoi vos objectifs de déploiement de GHAS pourraient ressembler :

• Prévention des fuites de secrets : de nombreuses entreprises souhaitent empêcher la fuite d’informations critiques, telles que les clés logicielles ou les données financières.
• Respect des exigences de conformité : par exemple, un grand nombre d’entreprises du secteur de la santé utilisent GHAS pour empêcher l’exposition des informations personnelles de santé.
• Réduction du nombre de vulnérabilités : il peut s’agir d’un objectif général ou la conséquence d’une vulnérabilité importante dont votre entreprise a été victime dernièrement et qui, selon vous, aurait pu être évitée par un outil comme GHAS.
• Identification des référentiels à haut risque : certaines entreprises souhaitent simplement cibler les référentiels qui présentent le plus de risques, ce qui leur permet de réduire ces risques en corrigeant les vulnérabilités de leur code et de leur chaîne logistique.
• Augmentation des taux de correction : pour éviter l’accumulation de dettes de sécurité, il est conseillé d’encourager les développeurs à adopter les conclusions et de garantir la correction rapide de ces vulnérabilités.

Mener votre déploiement avec vos groupes de sécurité et de développement

Les entreprises qui impliquent à la fois leurs équipes de sécurité et de développement dans leurs déploiements GHAS ont tendance à être plus efficaces que celles qui n’impliquent que leur groupe de sécurité et attendent la fin du pilote pour inclure les équipes de développement.

GHAS a une approche de la sécurité logicielle qui est axée sur le développeur en s’intégrant parfaitement dans le workflow du développeur. Le fait d’avoir une représentation clé de votre groupe de développement au début du processus réduit le risque lié au déploiement et encourage l’adhésion de l’organisation.

Impliquer les groupes de développement plus tôt, idéalement à partir du moment de l’achat, aide les entreprises à utiliser GHAS pour résoudre les problèmes de sécurité plus tôt dans le processus de développement. Lorsque les deux groupes travaillent ensemble, ils atteignent l’alignement tôt dans le processus, suppriment les silos, bâtissent et renforcent leurs relations de travail, et assument davantage de responsabilités dans le cadre du déploiement.

Se familiariser avec GHAS

Pour définir des attentes réalistes pour le déploiement, veillez à ce que toutes les parties prenantes comprennent les faits clés suivants concernant le fonctionnement de GHAS.

1. GHAS est une suite d’outils de sécurité qui nécessitent d’intervenir pour protéger le code

GHAS est une suite d’outils qui prend toute sa valeur quand elle est configurée, gérée et utilisée dans des workflows quotidiens et en association avec d’autres outils.

2. GHAS nécessitera des ajustements dès la sortie de la boîte

Une fois que GHAS est configuré sur vos dépôts, vous devez le configurer de façon à ce qu’il réponde aux besoins de votre entreprise. Par exemple:

• La configuration par défaut pour code scanning détecter automatiquement les langues à analyser, mais vous devrez peut-être personnaliser d’autres aspects de votre code scanning configuration, tels que le modèle de menace de l’application pour affiner les résultats.

•         Secret scanning détecte automatiquement les modèles utilisés par de nombreux systèmes couramment utilisés, mais vous pouvez ajouter des modèles personnalisés pour détecter des jetons et d’autres secrets utilisés par des outils internes.
  

3. Les outils GHAS sont les plus efficaces lorsqu’ils sont utilisés ensemble et intégrés à votre programme de sécurité des applications

GHAS est plus efficace quand tous les outils sont utilisés ensemble. L’efficacité de votre programme de sécurité des applications est encore améliorée en intégrant GHAS à d’autres outils et activités, tels que des tests de pénétration et des analyses dynamiques. Nous vous recommandons de toujours utiliser plusieurs couches de protection.

4. Les requêtes personnalisées CodeQL sont utilisées par certaines entreprises pour personnaliser et cibler les résultats de l’analyse

          Code scanning est alimenté par CodeQLle moteur d’analyse de code le plus puissant au monde. Pour bon nombre de nos clients, le jeu de requêtes de base et les requêtes supplémentaires disponibles auprès de la communauté sont plus que suffisants. Toutefois, d’autres entreprises peuvent nécessiter des requêtes personnalisées CodeQL pour cibler différents résultats ou réduire les faux positifs.

Si votre entreprise s’intéresse aux requêtes personnalisées CodeQL , nous vous recommandons d’effectuer d’abord votre déploiement et votre implémentation de GHAS. Ensuite, lorsque votre entreprise est prête, GitHub Professional Services peut vous aider à explorer vos besoins et à vous assurer que vos exigences sont satisfaites par des requêtes personnalisées.

5. CodeQL analyse l’intégralité de la base de code, pas seulement les modifications apportées dans une pull request.

Quand code scanning est exécutée à partir d’un pull request, l’analyse inclut la base de code complète et pas seulement les modifications apportées au pull request. L’analyse de tout le codebase est une étape importante pour vérifier que la modification a été examinée par rapport aux interactions dans le codebase.