Conseil
Cet article fait partie d’une série sur l’adoption GitHub Advanced Security à grande échelle. Pour l’article précédent de cette série, consultez Phase 4 : Créer une documentation interne.
Vous pouvez rapidement activer les fonctionnalités de sécurité à grande échelle avec un security configuration, une collection de paramètres d’activation de sécurité que vous pouvez appliquer aux référentiels d’une organisation. Vous pouvez personnaliser les fonctionnalités de Advanced Security au niveau de l’organisation avec global settings. Consultez À propos de l'activation des fonctionnalités de sécurité à grande échelle.
Activation de l’analyse du code
Après avoir piloté code scanning et créé de la documentation interne pour des meilleures pratiques, vous pouvez déployer code scanning dans l'ensemble de votre entreprise. Vous pouvez configurer la code scanning configuration par défaut pour tous les référentiels d’une organisation à partir de la vue d’ensemble de la sécurité. Pour plus d’informations, consultez « Définition de la configuration par défaut pour l’analyse du code à grande échelle ».
Pour certains langages ou systèmes de génération, vous devrez peut-être utiliser une configuration avancée pour code scanning pour obtenir une couverture complète de votre codebase. Toutefois, la configuration avancée nécessite beaucoup plus d’efforts pour la configuration, la personnalisation et la gestion. Nous vous recommandons donc d’activer d’abord la configuration par défaut.
Création d’une expertise en matière
Pour gérer et utiliser code scanning correctement dans votre entreprise, vous devez créer une expertise interne en matière d’objet. Pour la configuration par défaut pour code scanning, l'un des domaines les plus importants pour les experts en la matière (EXM) à comprendre est l'interprétation des alertes code scanning et leur résolution. Pour plus d’informations sur les alertes code scanning, consultez :
- À propos des alertes d’analyse du code
- Évaluation des alertes d’analyse du code pour votre référentiel
- Résoudre les alertes d'analyse de code
Vous aurez également besoin de PME si vous devez utiliser la configuration avancée pour code scanning. Ces PME auront besoin d’une connaissance des code scanning alertes, ainsi que de rubriques telles GitHub Actions que la personnalisation code scanning des flux de travail pour des infrastructures particulières. Pour les configurations personnalisées d’une configuration avancée, envisagez d’exécuter des réunions sur des sujets complexes pour mettre à l’échelle les connaissances de plusieurs PME à la fois.
Pour les alertes de l'analyse code scanning, vous pouvez utiliser la vue d'ensemble de la sécurité pour voir comment CodeQL est en cours d'exécution dans les pull requests dans les dépôts de votre organisation et pour identifier les dépôts où vous devrez peut-être prendre des mesures. Pour plus d’informations, consultez « Indicateurs d’alerte de demande de tirage CodeQL ».
Avec une GitHub Copilot Enterprise licence, vous pouvez également demander GitHub Copilot Chat de l’aide pour mieux comprendre les code scanning alertes dans les référentiels de votre organisation. Pour plus d’informations, consultez « Poser des questions à GitHub Copilot sur GitHub ».
Conseil
Pour l’article suivant de cette série, consultez Phase 6 : Déployer et mettre à l’échelle l’analyse des secrets.