Fundamentos do GitHub Advanced Security
O GitHub Advanced Security (GHAS) é uma solução de teste de segurança de aplicações centrada no desenvolvedor e traz os recursos de segurança de classe mundial do GitHub para repositórios públicos e privados. Ele fornece recursos de detecção e remediação altamente selecionados, criados por alguns dos melhores engenheiros de segurança do mundo, para garantir que seu código, segredos e cadeia de fornecedores de software sejam tão seguros quanto possível. Além disso, é totalmente automatizado, então, você não precisa se lembrar de executar testes GHAS ou esperar por uma revisão de segurança antes de mesclar.
Neste módulo, você começará a usar o GitHub Advanced Security (GHAS) e começará imediatamente a corrigir vulnerabilidades e a prevenir futuros problemas de segurança. Alguns cliques bastam. Para nos ajudar na jornada, contaremos com Justin Watts, diretor de produtividade de engenharia na empresa canadense de telecomunicações TELUS, que compartilhará insights e práticas recomendadas.
Ao final deste módulo, você entenderá os métodos de detecção que o GHAS inclui, as diferenças entre seus principais recursos, como habilitar esses recursos com suas configurações padrão no nível de repositório e como começar a ver resultados e corrigir vulnerabilidades.
Pré-requisitos
Uma licença do GitHub Advanced Security
Permissões do administrador do repositório ou do Gerenciador de Segurança da organização
Conhecimento básico do GitHub, como criar fork para repositórios e fazer commit de alterações
Neste módulos, vamos usar a aplicação OWASP Juice Shop como exemplo para explorar os recursos do GHAS. Juice Shop é uma aplicação de código aberto deliberadamente insegura, amplamente usada para testes de segurança e benchmarking.
Visão geral do módulo de fundamentos
Guia 1: Noções básicas sobre o GitHub Advanced Security
Aprenda sobre os métodos de detecção que o GHAS inclui, como os diferentes recursos ajudam a proteger várias partes do seu software e quais recursos estão disponíveis para gerar relatórios sobre seu progresso de segurança.
Guia 2: Habilitando o GitHub Advanced Security
Como habilitar o GitHub Advanced Security no nível de repositório, incluindo varredura de código, CodeQL, revisão de dependência e verificação de segredo.
Guia 3: Revisão dos resultados da verificação do GitHub Advanced Security
Como visualizar os resultados da varredura de código, da verificação de segredo e do Dependabot, como dispensar falso-positivos na verificação de segredo e como automaticamente corrigir vulnerabilidades com o Dependabot.
Insights de especialistas do setor:
TELUS: a TELUS é uma fornecedora líder em comunicações e tecnologia da informação no Canadá, responsável por fornecer serviços essenciais para mais de 35 milhões de pessoas em todo o país. Com uma equipe diversificada de 78 mil pessoas, incluindo quase 5 mil desenvolvedores, analistas e técnicos, a TELUS enfrenta a tarefa monumental de unificar várias ferramentas e tecnologias. Ao adotar o GitHub, a empresa centralizou o desenvolvimento de software, otimizou os testes por meio do GitHub Actions e aprimorou os protocolos de segurança. Isso resultou em uma economia significativa de tempo e elevou a qualidade do código em toda a força de trabalho de quase 5 mil profissionais da tecnologia.