Cartoon rock climber using proper security techniques while climbing a rock wall

GitHub Advanced Security intermediário

Nicholas Liffen
Nicholas Liffen // Director, GitHub Advanced Security // GitHub

O GitHub Advanced Security (GHAS) foi projetado para atender às necessidades da maioria das empresas imediatamente. Nos esforçamos para manter a necessidade de configuração ao mínimo absoluto para que todos possam se beneficiar imediatamente da proteção oferecida pelo GHAS. Porém, não existe uma única solução quando se trata de segurança empresarial.

Neste módulo, iremos além dos padrões e mostraremos como configurar o GitHub Advanced Security para atender às necessidades da sua organização. Especialistas da Telus, KPMG e LinkedIn se juntarão a nós ao longo do caminho para compartilhar as lições que aprenderam durante a implementação do GHAS.

Ao concluir este módulo, você estará familiarizado com os arquivos de configuração do CodeQL, a verificação de segredos e a revisão de dependências, e estará poderá começar a personalizar sua própria configuração do GHAS.

Pré-requisitos

  • Uma licença do GitHub Advanced Security

  • Permissões do administrador do repositório ou do Gerenciador de Segurança da organização

  • Conhecimento básico do GitHub, como criar fork para repositórios e fazer commit de alterações

  • Recomenda-se alguma familiaridade com o GitHub Actions

Neste módulo, usaremos uma aplicação de exemplo chamada Web Goat para explorar os recursos do GHAS. Web Goat é uma aplicação de código aberto deliberadamente insegura, amplamente usado para testes de segurança e benchmarking.

Visão geral do módulo intermediário

Guia 1: Configuração avançada do CodeQL

Quando usar a configuração avançada do CodeQL em vez da configuração padrão, como editar um arquivo de configuração do CodeQL e como definir instruções de construção personalizadas para o CodeQL.

Guia 2: Ajuste o escopo de testes com o CodeQL

Como excluir arquivos ou pastas de uma verificação CodeQL, como alterar quais consultas são executadas como parte de uma verificação de CodeQL e as diferenças entre os três conjuntos de consultas padrão incluídos no CodeQL.

Guia 3: Amplie seus testes com ferramentas de terceiros por meio da varredura de código do GitHub

Por que as ferramentas de terceiros são uma adição valiosa à varredura de código do GitHub, como integrar ferramentas de terceiros à varredura de código com o GitHub Actions e como visualizar os resultados dessas ferramentas na varredura de código.

Guia 4: Personalização do escopo da verificação de segredo

Como criar um arquivo de configuração de verificação de segredo, como excluir arquivos e pastas da verificação de segredo, práticas recomendadas para decidir o que excluir e o que não excluir.

Guia 5: Personalize a configuração da revisão de dependência

Como editar o arquivo de fluxo de trabalho de revisão de dependência para implementar personalizações comuns de revisão de dependência, como alterar o nível de gravidade da vulnerabilidade que acionará um alerta, bloquear licenças específicas ou impedir a fusão de dependências vulneráveis ​​em ambientes de implantação específicos.

Insights de especialistas do setor:

Telus: a TELUS é uma fornecedora líder em comunicações e tecnologia da informação no Canadá, responsável por fornecer serviços essenciais para mais de 35 milhões de pessoas em todo o país. Com uma equipe diversificada de 78 mil pessoas, incluindo quase 5 mil desenvolvedores, analistas e técnicos, a TELUS enfrenta a tarefa monumental de unificar várias ferramentas e tecnologias. Ao adotar o GitHub, a empresa centralizou o desenvolvimento de software, otimizou os testes por meio do GitHub Actions e aprimorou os protocolos de segurança. Isso resultou em uma economia significativa de tempo e elevou a qualidade do código em toda a força de trabalho de quase 5 mil profissionais da tecnologia.

LinkedIn: desde listas de empregos e oportunidades de networking até artigos e cursos on-line, o LinkedIn coloca ao seu alcance os recursos para navegar no mundo do trabalho em constante mudança. Fundado em 2003, o LinkedIn conecta profissionais do mundo todo para torná-los mais produtivos e bem-sucedidos. Com mais de 850 milhões de membros em todo o mundo, incluindo executivos de todas as empresas Fortune 500, o LinkedIn é a maior rede profissional do mundo.

KPMG: uma organização líder global em serviços profissionais, a KPMG é uma das “Quatro Grandes” empresas de contabilidade e é mais conhecida por seus serviços fiscais, de auditoria e outros serviços relacionados à contabilidade. Mas a empresa é muito mais do que isso. A KPMG ajuda seus clientes a resolver problemas complexos de negócios, impulsionando cada vez mais transformações digitais e desenvolvendo software customizado. A KPMG deixou de ser uma empresa de auditoria e contabilidade para se tornar uma empresa de serviços multidisciplinares com uma grande força de trabalho técnica e de engenharia.

Começar o Guia 1: Configuração avançada do CodeQL