Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Eksamensdesign
målgruppeprofil
Denne eksamen er udviklet til systemadministratorer, softwareudviklere, programadministratorer og it-teknikere med erfaring på mellemniveau i GitHub Enterprise Administration.
Målte færdigheder
BEMÆRK! De punkttegn, der følger hver af de målte færdigheder, er beregnet til at illustrere, hvordan vi vurderer den pågældende færdighed. Relaterede emner kan dækkes i eksamen.
BEMÆRK! De fleste spørgsmål dækker funktioner, der er offentligt tilgængelige. Eksamen kan indeholde spørgsmål om prøveversionsfunktioner, hvis disse funktioner ofte bruges.
Domæne 1: Beskriv GHAS-sikkerhedsfunktionerne og -funktionaliteten (15%)
Sammenlign GHAS-funktioner og deres rolle i sikkerhedsøkosystemet
Differentiere de sikkerhedsfunktioner, der kommer automatisk til projekter med åben kildekode, og hvilke funktioner der er tilgængelige, når GHAS er parret med GHEC eller GHES
Beskriv funktionerne og fordelene ved Sikkerhedsoversigt
Beskriv forskellene mellem hemmelig scanning og kodescanning
Beskriv, hvordan hemmelig scanning, kodescanning og Dependabot skaber en mere sikker livscyklus for softwareudvikling
Kontrastér et sikkerhedsscenarie med isoleret sikkerhedsgennemgang og et avanceret scenarie med sikkerhed integreret i hvert trin i softwareudviklingslivscyklussen
Forklar og brug specifikke GHAS-funktioner
Beskriv, hvordan sårbare afhængigheder identificeres (ved at se på manifestfilerne og sammenligne med databaser med kendte sikkerhedsrisici)
Vælg, hvordan du vil reagere på beskeder fra GHAS
Forklar konsekvenserne af at ignorere en besked
Forklar en udviklers rolle, når vedkommende opdager en sikkerhedsadvarsel
Beskriv forskellene i adgangsstyring for at få vist beskeder om forskellige sikkerhedsfunktioner
Identificer, hvor du kan bruge Dependabot-beskeder i softwareudviklingslivscyklussen
Domæne 2: Konfigurer og brug hemmelig scanning (15%)
Konfigurer og brug hemmelig scanning
Beskriv hemmelig scanning
Beskriv pushbeskyttelse
Beskriv validitetskontrol
Tilgængelighed af hemmelige scanninger i kontrast for offentlige og private lagre
Aktivér hemmelig scanning for private lagre
Vælg et passende svar på en hemmelig scanningsbesked
Find ud af, om der genereres en besked for en given hemmelighed, et bestemt mønster eller en given tjenesteudbyder
Find ud af, om en given brugerrolle får vist hemmelige scanningsbeskeder, og hvordan de får besked
Tilpas standardfunktionsmåden for scanning af hemmelighed
Konfigurer modtagerne af en hemmelig scanningsbesked (omfatter også, hvordan du giver adgang til andre medlemmer og teams end administratorer)
Udelad visse filer fra at blive scannet for hemmeligheder
Aktivér brugerdefineret hemmelighedsscanning for et lager
Domæne 3: Konfigurer og brug Dependabot and Dependency Review (35%)
Beskriv værktøjer til administration af sikkerhedsrisici i afhængigheder
Definer afhængighedsdiagrammet
Beskriv, hvordan afhængighedsgrafen genereres
Beskriv, hvad en SBOM (Software Bill of Materials) er, og det SBOM-format, der bruges af GitHub
Definer en afhængighedssvaghed
Beskriv afhængighedsbeskeder
Beskriv sikkerhedsopdateringer til Dependabot
Beskriv afhængighedsgennemgang
Beskriv, hvordan beskeder genereres for sårbare afhængigheder (baseret på afhængighedsdiagrammet, der stammer fra GitHub Advisory Database)
Beskriv forskellen mellem gennemgang af afhængighed og afhængighed
Aktivér og konfigurer værktøjer til administration af sårbare afhængigheder
Identificer standardindstillingerne for Dependabot-beskeder i offentlige og private lagre
Identificer de tilladelser og roller, der kræves for at aktivere Dependabot-beskeder
Identificer de tilladelser og roller, der kræves for at få vist afhængighedsbeskeder
Aktivér Dependabot-beskeder for private lagre
Aktivér afhængighedsbeskeder for organisationer
Opret en gyldig konfigurationsfil for Dependabot for at gruppere sikkerhedsopdateringer
Opret en afhængighedsbaseret regel for automatisk at afvise beskeder med lav alvorsgrad, indtil der er en programrettelse tilgængelig
Opret en arbejdsproces til gennemgang af afhængigheder i GitHub-handlinger
Konfigurer licenskontroller og tærskler for brugerdefineret alvorsgrad i en arbejdsproces til gennemgang af afhængighed
Konfigurer meddelelser for sårbare afhængigheder
Identificer og afhjælp sårbare afhængigheder
Identificer en sårbar afhængighed fra en afhængig besked
Identificer sårbare afhængigheder fra en pullanmodning
Aktivér sikkerhedsopdateringer til Dependabot
Afhjælpning af en sårbarhed fra en Dependabot-besked under fanen Sikkerhed (kan omfatte opdatering eller fjernelse af afhængigheden)
Afhjælpe en sårbarhed fra en Dependabot-besked i forbindelse med en pullanmodning (kan omfatte opdatering eller fjernelse af afhængigheden)
Udfør handlinger på alle Afhængighedsbeskeder ved at teste og flette pullanmodninger
Domæne 4: Konfigurer og brug kodescanning med CodeQL (25%)
Brug kodescanning med tredjepartsværktøjer
Aktivér kodescanning til brug med en tredjepartsanalyse
Kontrastér trinnene til brug af CodeQL i forhold til tredjepartsanalyse, når kodescanning aktiveres
Kontrastér, hvordan du implementerer CodeQL-analyse i en GitHub-handlingsarbejdsproces i forhold til et CI-værktøj fra tredjepart
Upload sarif-resultater fra tredjepart via SARIF-slutpunktet
Beskriv og aktivér kodescanning
Beskriv, hvordan kodescanning passer i softwareudviklingslivscyklussen
Kontrastér hyppigheden af arbejdsprocesser til kodescanning (planlagt i forhold til udløst af hændelser)
Vælg en udløsende hændelse for et givet udviklingsmønster (f.eks. i en pullanmodning og for bestemte filer)
Rediger standardskabelonen for arbejdsprocessen Handlinger, så den passer til et aktivt produktionslager med åben kildekode
Beskriv, hvordan du får vist kodescanningsresultater fra CodeQL-analyse
Foretag fejlfinding af en arbejdsproces til kodescanning, der mislykkes, ved hjælp af CodeQL, herunder oprettelse eller ændring af en brugerdefineret konfiguration i CodeQL-arbejdsprocessen
Følg dataflowet gennem kode ved hjælp af oplevelsen vis stier
Forklar årsagen til en kodescanningsbesked med den dokumentation, der er knyttet til beskeden
Find ud af, om og hvorfor en besked om kodescanning skal afvises
Beskriv potentielle mangler i CodeQL via model til kompilering og sprogunderstøttelse
Forklar formålet med at definere en SARIF-kategori
Domæne 5: Beskriv de bedste fremgangsmåder, resultater for Avanceret sikkerhed i GitHub, og hvordan du foretager afhjælpende foranstaltninger (10%)
Resultater af avanceret sikkerhed i GitHub og bedste praksis
Brug en CVE (Common Vulnerabilities and Exposures) og CWE (Common Weakness Enumeration) til at beskrive en GitHub Advanced Security-besked og angive potentiel afhjælpning
Beskriv beslutningsprocessen for lukning og afvisning af sikkerhedsbeskeder (dokumentation af afskedigelsen, beslutning baseret på data)
Beskriv standard-CodeQL-forespørgselspakkerne
Beskriv, hvordan CodeQL analyserer kode og giver resultater, herunder forskelle mellem kompileret og fortolket sprog
Bestem rollerne og ansvarsområderne for udviklings- og sikkerhedsteams i en arbejdsproces til softwareudvikling
Beskriv, hvordan alvorsgradstærsklen for kontrol af pullanmodningsstatus for kodescanning kan ændres
Forklar, hvordan filtre og sortering kan bruges til at prioritere afhjælpning af hemmelig scanning (valid:active)
Forklar, hvordan arbejdsprocesser til gennemgang af KodeQL & afhængighed kan gennemtvinges med lagerregler
Beskriv, hvordan kodescanning kan konfigureres til at identificere og afhjælpe sikkerhedsrisici tidligere (scanning efter pullanmodning)
Beskriv, hvordan hemmelig scanning kan konfigureres til at identificere og afhjælpe sikkerhedsrisici tidligere (aktivering af pushbeskyttelse)
Beskriv, hvordan afhængighedsanalyse kan konfigureres til at identificere og afhjælpe sikkerhedsrisici tidligere (aktivér gennemgang af afhængigheder for at scanne efter pullanmodning)