ヒント
この記事は、大規模な GitHub Advanced Security の導入に関するシリーズの一部です。 このシリーズの前の記事については、「フェーズ 4: 内部ドキュメントを作成する」を参照してください。
security configuration (組織内のリポジトリに適用できるセキュリティ有効化設定のコレクション) を使用して、大規模なセキュリティ機能をすばやく有効にすることができます。 Advanced Security を使用して、組織レベルで global settings 機能をカスタマイズできます。 「大規模なセキュリティ機能の有効化について」をご覧ください。
Code Scanning の有効化
code scanningパイロットを行い、ベスト プラクティスに関する内部ドキュメントを作成したら、会社全体でcode scanningを有効にすることができます。 セキュリティの概要から、組織内のすべてのリポジトリ code scanning 既定のセットアップを構成できます。 詳しくは、「[AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning-at-scale#configuring-default-setup-for-all-eligible-repositories-in-an-organization)」をご覧ください。
一部の言語またはビルド システムでは、代わりに code scanning の高度なセットアップを構成して、コードベースを完全にカバーすることが必要になる場合があります。 ただし、高度なセットアップでは、構成、カスタマイズ、および保守に非常に多くの労力が必要となるため、最初に既定のセットアップを有効にすることをお勧めします。
分野の専門知識を構築する
会社全体で code scanning を正常に管理して使用するには、内部の主題に関する専門知識を構築する必要があります。 code scanningの既定のセットアップでは、主題の専門家 (SM) が理解する最も重要な領域の 1 つは、code scanningアラートの解釈と修正です。 code scanningアラートの詳細については、以下を参照してください。
-
code scanningの詳細設定を使用する必要がある場合は、SM も必要です。 これらの中小企業には、code scanningアラートに関する知識、および特定のフレームワークに合わせたGitHub Actionsワークフローのカスタマイズなど、code scanningといったトピックについての知識が必要です。 高度なセットアップのカスタム構成の場合は、複雑なトピックに関する会議を開催して、複数の SME の知識を一度に広げることを検討してください。 code scanning分析からのCodeQLアラートの場合は、セキュリティの概要を使用して、組織全体のリポジトリのプル要求でCodeQLがどのように実行されているかを確認したり、アクションを実行する必要があるリポジトリを特定したりできます。 詳しくは、「[AUTOTITLE](/code-security/concepts/code-scanning/pull-request-alert-metrics)」をご覧ください。
ヒント
このシリーズの次の記事については、「フェーズ 6: 機密情報スキャンの展開と拡大」を参照してください。