Three guards guarding art in a museum

GitHub Advanced Security avançado

Nicholas Liffen
Nicholas Liffen // Director, GitHub Advanced Security // GitHub

Após ativar os principais recursos do GitHub Advanced Security (GHAS), eles sempre estarão em execução em segundo plano para manter seu código seguro. Porém, você pode fazer mais com o GHAS do que executar as verificações que o GitHub fornece imediatamente. Neste módulo, nos aprofundaremos nos recursos mais avançados do GHAS.

Pré-requisitos:

  • Uma licença do GitHub Advanced Security

  • CodeQL, gráfico de dependência, alertas do Dependabot, verificação de segredo e proteção por push devem estar todos habilitados

  • Permissões do administrador do repositório ou do Gerenciador de Segurança da organização

  • Conhecimento básico do GitHub, como criar fork para repositórios e fazer commit de alterações

  • Recomenda-se alguma familiaridade com o GitHub Actions

Neste módulo, usaremos uma aplicação de exemplo chamada Web Goat para explorar os recursos do GHAS. Web Goat é uma aplicação de código aberto deliberadamente insegura, amplamente usado para testes de segurança e benchmarking. Se você concluiu um dos roteiros de segurança anteriores (básico ou intermediário), poderá continuar usando o mesmo repositório.

Visão geral do módulo avançado

Guia 1: Criar um arquivo de configuração central do CodeQL

Por que e como gerenciar centralmente a configuração do CodeQL, como habilitar o acesso ao arquivo de configuração central do CodeQL e como apontar repositórios individuais para ele.

Guia 2: Compreender a cadeia de suprimentos de software de ponta a ponta

Como usar o GitHub Actions para criar e fazer upload de um snapshot de dependência, como visualizar os resultados com gráfico de dependência e como exportar automaticamente uma lista de materiais de software (SBOM) com o GitHub Actions.