パイロット リポジトリを選択するためのベスト プラクティス

適切なパイロット リポジトリは、価値をすばやく示し、 GitHub Secret Protectionのより広範な有効化のために組織を準備します。

この記事で

組織全体 GitHub Secret Protection 有効にする前に、パイロットを実行して、少数のリポジトリでソリューションを検証します。 パイロットは、ロールアウト戦略を調整し、ワークフローの調整を特定し、関係者にセキュリティ価値を示すのに役立ちます。 この記事は、パイロットに最適なリポジトリを選択するのに役立ちます。

パイロットが成功するためには、戦略的なリポジトリの選定が必要です。 選択したリポジトリによって、価値を示し、実用的なフィードバックを収集し、組織全体の導入に備える時間が決まります。

選択条件

パイロットを成功させるには、戦略的リポジトリの選択が必要です。 選択したリポジトリによって、価値を示し、実用的なフィードバックを収集し、組織全体の導入に備える時間が決まります。

リポジトリを選択するときは、次の条件を考慮してください。

積極的な開発とチームエンゲージメント

パイロットには、 Secret Protection が毎日の開発作業にどのように適合するかについてのタイムリーなフィードバックを生成するリポジトリが必要です。

  • 通常のコミットとプル要求を含むリポジトリを選択します。 アクティブリポジトリはフィードバックを迅速に生成し、実際の開発ワークフローにどのように Secret Protection 適合するかを示します。
  • パイロットと連携する チーム を選択します。 応答性の高い保守担当者は、ワークフローの調整をより迅速に特定し、ロールアウト戦略を調整するのに役立ちます。
  • リポジトリのプロパティを使用して 、チーム、重要度、またはその他のカスタム属性によってリポジトリを体系的に識別します。 「Organization 内リポジトリのカスタム プロパティの管理」を参照してください。

既知の秘密の露出

シークレット リスク評価でフラグが設定されたリポジトリを選択します。 これらのリポジトリは、修復が必要なシークレットを表示することで即時価値を示すので、理想的なパイロット候補です。

運用資格情報、インフラストラクチャ構成、または重要なサービスとの統合を使用してリポジトリに優先順位を付けます。 これらの高い値のターゲットは、 Secret Protectionのセキュリティ値を示しています。

技術的多様性

パイロットは、 Secret Protection がプログラミング言語とツールで動作することを検証する必要があります。

  • さまざまなプログラミング言語とフレームワークを使用してリポジトリを含めます。 これにより、コードベース全体 Secret Protection カバレッジが検証されます。
  • CI/CD パイプラインを含むリポジトリを選択して、デプロイの潜在的な影響を早期に特定します。 これらの相互作用を理解すると、より広範なロールアウト中に驚きを防ぐことができます。

組織の表現

パイロットを成功させるには、組織のさまざまな部分の賛同が必要です。

  • 異なるチームまたは部署からリポジトリを選択します。 多様なフィードバックにより、1 つのチームの経験からは生まれないパターンが明らかになります。
  • リーダーシップが関心を持つリポジトリを少なくとも 1 つ含めます。 エグゼクティブの関与はパイロットの勢いを維持し、将来の予算に関する話し合いを容易にします。

最初に回避するリポジトリ

すべてのリポジトリが適切なパイロット候補になるわけではありません。

  • アクティビティが少ないリポジトリまたはアーカイブされたリポジトリ: タイムリーなワークフローフィードバックは得られません。
  • 試験段階のリポジトリまたは個人用リポジトリ: これらのリポジトリは、運用パターンを反映していません。
  • 複雑なカスタム ツールを含むリポジトリ: 異常なワークフローでは、フィードバックが複雑になる可能性があります。
  • 変更の許容度がゼロのミッション クリティカルなリポジトリ: ソリューションを検証 した後 、これらのリポジトリを追加することをお勧めします。

組織別のパイロット サイズ

これらの条件を満たすリポジトリを特定したら、パイロットのサイズを決定します。 適切なパイロット サイズでは、十分なフィードバックを収集し、チームの圧倒を回避します。

組織のサイズリポジトリの数レコメンデーション
小規模 (100 人未満の開発者)3-5 リポジトリ最も重要なプロジェクトから始めます。
(100 ~ 500 人の開発者)5 から 10 個のリポジトリ高アクティビティ リポジトリと中程度のアクティビティ リポジトリの組み合わせなど、さまざまなチームのリポジトリを選択します。
大規模 (500 以上の開発者)10 から 20 個のリポジトリ組織全体で広範な表現を確保します。 リポジトリの追加のウェーブを使用した段階的なアプローチを検討してください。

パイロットを有効にする前に

成功に向けてパイロットを設定するには、次の手順を実行します。

  • リポジトリの所有者が参加することに同意していることを確認します。 望まないチームは、実際の製品の問題を反映しない否定的なフィードバックを生成します。
  • 各パイロット チーム内のチャンピオンを特定します。 チャンピオンは質問に答え、フィードバックを流し続けます。
  • コミット頻度や共同作成者数などのベースライン メトリックを文書化します。 これらのベースラインは、パイロットへの影響を測定するのに役立ちます。

詳細については、次を参照してください。

次のステップ

パイロット リポジトリを選択したので、価格を確認し、 GitHub Secret Protectionを構成します。 「価格と有効化 GitHub Secret Protection」を参照してください。