在全组织启用 GitHub Secret Protection 之前,先进行试点,用少量存储库验证解决方案。 试点可帮助你优化推出策略,识别工作流调整,并向利益干系人展示安全价值。 本文将帮助你为试点选择最佳存储库。
成功的试点需要战略存储库选择。 你选择的存储库决定了如何快速演示价值、收集可操作的反馈,并为组织范围的采用做好准备。
选择条件
成功的试点需要战略存储库选择。 你选择的存储库决定了如何快速演示价值、收集可操作的反馈,并为组织范围的采用做好准备。
选择存储库时,请考虑以下条件。
积极开发和团队参与
试点需要能及时反馈 Secret Protection 如何融入日常开发工作的存储库。
- 选择有定期提交和执行拉取请求的存储库。 活跃的存储库快速反馈,展示了 Secret Protection 如何适应实际开发工作流。
- 选择团队参与试点。 响应式维护人员将更快地识别工作流调整,并帮助优化推出策略。
- 使用存储库属性 按团队、关键性或其他自定义属性系统地标识存储库。 请参阅“管理组织中存储库的自定义属性”。
已知机密暴露
选择在机密风险评估中标记的存储库。 这些存储库是理想的试点候选项,因为它们通过显示需要修正的机密来展示即时价值。
使用生产凭据、基础结构配置或与关键服务的集成确定存储库的优先级。 这些高价值目标演示了 Secret Protection安全性值。
技术多样性
测试应验证 Secret Protection 是否适用于你的编程语言和工具。
- 包括使用不同的编程语言和框架的存储库。 这会验证 Secret Protection 代码库的覆盖率。
- 选择包含 CI/CD 管道的存储库,以尽早识别潜在的部署影响。 了解这些交互可防止在更广泛的推出过程中出现意外情况。
组织代表性
成功的试点需要得到组织各部分的支持。
- 从不同的团队或业务部门中选择存储库。 不同的反馈揭示了单个团队的经验中不会自然显现的模式。
- 至少包括一个领导关心的存储库。 执行可见性保持试点势头,促进未来的预算讨论。
初期应避免的存储库
并非所有存储库都适合试点候选者。
- 低活动或存档存储库:不会获得及时的工作流反馈。
- 实验性或个人存储库:这些存储库不反映生产模式。
- 具有复杂自定义工具的存储库:异常工作流可能会使反馈复杂化。
- 具有零更改容错的任务关键存储库:最好在验证解决方案 后 添加这些存储库。
按组织划分试点规模
确定满足这些条件的存储库后,确定试点的大小。 正确的试点大小在收集足够反馈的同时,也能避免团队负担过重。
| 组织规模 | 存储库数目 | 建议 |
|---|---|---|
| 小型 (开发人员少于100人) | 3-5 存储库 | 从最关键的项目开始。 |
| 中等 (100-500 开发人员) | 5-10 存储库 | 选择跨不同团队的存储库,包括高活跃度和中等活跃度的混合。 |
| 大型 (500+ 开发人员) | 10-20 存储库 | 确保整个组织中的广泛代表性。 考虑分阶段逐步添加存储库。 |
在启用试点之前
请按照以下步骤为您的试点项目的成功做好准备。
- 确认存储库所有者同意参与。 不配合的团队会产生不反映实际产品问题的负面反馈。
- 确定每个试点团队中的冠军。 领军者回答问题,并保持反馈流动。
- 记录基线指标,例如提交频率和参与者计数。 这些基线可帮助你衡量试点影响。
延伸阅读
- 在 GitHub 高级安全产品指南中确定用于机密保护的存储库
后续步骤
选择试点存储库后,请查看定价和配置 GitHub Secret Protection。 请参阅“定价与激活 GitHub Secret Protection”。