Modül 6 · GHAS Administration · ⏱ 10 dakika

Security campaigns ve org-wide rollout

Security campaigns and org-wide rollout

Bu derste neler öğreneceksin

  • Security campaigns'in ne olduğunu ve nasıl çalıştığını anlamak
  • Campaign oluşturma ve takımlara atama sürecini öğrenmek
  • Organization genelinde GHAS rollout stratejisini kavramak
  • Campaign metriklerini ve ilerleme takibini bilmek

Security campaigns nedir?

Security campaigns (Mart 2026 GA), organizasyon genelindeki güvenlik backlog’unu sprint tabanlı, ölçülebilir hedeflerle temizlemek için tasarlanmış GHAS özelliğidir.

Security manager → Campaign tanımlar
  → Alert filter (örn. severity=high, type=secret)
  → Deadline belirler
  → Takımlara atar
  → İlerlemeyi izler

Campaign oluşturma

Org → Security → Campaigns → New campaign

Yapılandırma alanları:

  • İsim: kampanya tanımlayıcısı
  • Açıklama: kapsamı ve amaç
  • Alert filter: hangi alert’ları kapsıyor
    • Tip: code scanning, secret scanning, Dependabot
    • Severity: critical, high
    • Repo kapsamı
  • Deadline: hedef tamamlanma tarihi
  • Assignees: sorumlu takımlar/kişiler

Campaign görünümü

Org → Security → Campaigns → [Campaign adı]

Dashboard’da:

  • Toplam alert hedefi vs. kapatılan
  • Repo bazlı ilerleme
  • Geride kalan repo’lar (SLA’ya göre renkli)
  • Haftalık kapanma hızı

Org-wide GHAS rollout planı

Büyük organizasyonlarda GHAS rollout için önerilen adımlar:

Adım 1: Pilot (1. ay)

  • 5–10 kritik repo seç
  • GHAS etkinleştir
  • Alert volümünü ölç
  • Triaj sürecini ve SLA’ları belirle

Adım 2: Genişletme (2–3. ay)

  • Aktif geliştirme repolarına uygula
  • Her takım için security champion belirle
  • İlk security campaign başlat (high severity cleanup)

Adım 3: Standartlaştırma (4. ay+)

  • Enterprise policy ile yeni repo’larda GHAS zorunlu kıl
  • Coverage metriklerini aylık raporla
  • SIEM streaming kur

Copilot Autofix ile campaign entegrasyonu

Security campaign açıkken, campaign kapsamındaki alert’lar için Copilot Autofix önerileri toplu olarak üretilebilir. Geliştiriciler campaign sayfasından direkt düzeltmeleri görebilir.

Sınavda campaigns soruları

“Organizasyonumuzda 500 high severity code scanning alert var. Sprint planlı şekilde temizlemek istiyoruz.” → Security campaign oluştur → high severity code scanning filtresi → deadline + takım ata.

“Campaign ilerlememizi CISO’ya raporlamam gerekiyor.” → Campaign dashboard → progress görünümü → screenshot veya export.

“Security campaigns neden çalışmıyor?” → GitHub Enterprise + GHAS lisansı gerekiyor; Free/Team’de yok.

Sırada ne var?

Modül 7’de sınav günü hazırlığı — mock sınav, strateji ve Pearson VUE prosedürü.