Security campaigns ve org-wide rollout
Security campaigns and org-wide rollout
Bu derste neler öğreneceksin
- Security campaigns'in ne olduğunu ve nasıl çalıştığını anlamak
- Campaign oluşturma ve takımlara atama sürecini öğrenmek
- Organization genelinde GHAS rollout stratejisini kavramak
- Campaign metriklerini ve ilerleme takibini bilmek
Security campaigns nedir?
Security campaigns (Mart 2026 GA), organizasyon genelindeki güvenlik backlog’unu sprint tabanlı, ölçülebilir hedeflerle temizlemek için tasarlanmış GHAS özelliğidir.
Security manager → Campaign tanımlar
→ Alert filter (örn. severity=high, type=secret)
→ Deadline belirler
→ Takımlara atar
→ İlerlemeyi izler
Campaign oluşturma
Org → Security → Campaigns → New campaign
Yapılandırma alanları:
- İsim: kampanya tanımlayıcısı
- Açıklama: kapsamı ve amaç
- Alert filter: hangi alert’ları kapsıyor
- Tip: code scanning, secret scanning, Dependabot
- Severity: critical, high
- Repo kapsamı
- Deadline: hedef tamamlanma tarihi
- Assignees: sorumlu takımlar/kişiler
Campaign görünümü
Org → Security → Campaigns → [Campaign adı]
Dashboard’da:
- Toplam alert hedefi vs. kapatılan
- Repo bazlı ilerleme
- Geride kalan repo’lar (SLA’ya göre renkli)
- Haftalık kapanma hızı
Org-wide GHAS rollout planı
Büyük organizasyonlarda GHAS rollout için önerilen adımlar:
Adım 1: Pilot (1. ay)
- 5–10 kritik repo seç
- GHAS etkinleştir
- Alert volümünü ölç
- Triaj sürecini ve SLA’ları belirle
Adım 2: Genişletme (2–3. ay)
- Aktif geliştirme repolarına uygula
- Her takım için security champion belirle
- İlk security campaign başlat (high severity cleanup)
Adım 3: Standartlaştırma (4. ay+)
- Enterprise policy ile yeni repo’larda GHAS zorunlu kıl
- Coverage metriklerini aylık raporla
- SIEM streaming kur
Copilot Autofix ile campaign entegrasyonu
Security campaign açıkken, campaign kapsamındaki alert’lar için Copilot Autofix önerileri toplu olarak üretilebilir. Geliştiriciler campaign sayfasından direkt düzeltmeleri görebilir.
Sınavda campaigns soruları
“Organizasyonumuzda 500 high severity code scanning alert var. Sprint planlı şekilde temizlemek istiyoruz.” → Security campaign oluştur → high severity code scanning filtresi → deadline + takım ata.
“Campaign ilerlememizi CISO’ya raporlamam gerekiyor.” → Campaign dashboard → progress görünümü → screenshot veya export.
“Security campaigns neden çalışmıyor?” → GitHub Enterprise + GHAS lisansı gerekiyor; Free/Team’de yok.
Sırada ne var?
Modül 7’de sınav günü hazırlığı — mock sınav, strateji ve Pearson VUE prosedürü.