Dica
Este artigo faz parte de uma série sobre a adoção GitHub Advanced Security em escala. Para ver o artigo anterior desta série, confira Fase 4: Criar a documentação interna.
Você pode habilitar rapidamente os recursos de segurança em escala com um security configuration, uma coleção de configurações de habilitação de segurança que você pode aplicar a repositórios em uma organização. Você pode personalizar os recursos do Advanced Security no nível da organização com global settings. Confira Sobre a habilitação de recursos de segurança em escala.
Habilitar o exame de códigos
Depois de pilotar code scanning e criar documentação interna para melhores práticas, você pode habilitar code scanning em toda a sua empresa. Você pode configurar code scanning a configuração padrão para todos os repositórios em uma organização a partir da visão geral de segurança. Para saber mais, confira Como definir a configuração padrão da verificação de código em escala.
Para algumas linguagens ou sistemas de compilação, talvez seja necessário definir uma configuração avançada para a code scanning de modo a obter cobertura total da sua base de código. No entanto, a configuração avançada requer um esforço significativamente maior para configurar, personalizar e manter. Dessa forma, recomendamos habilitar a configuração padrão primeiro.
Criar competências no assunto
Para gerenciar e usar code scanning com êxito em toda a sua empresa, você deve criar conhecimentos internos sobre o assunto. Para a configuração padrão para code scanning, uma das áreas mais importantes para especialistas em assuntos (SMEs) entenderem é interpretar e corrigir os alertas de code scanning. Para obter mais informações sobre code scanning alertas, consulte:
- Sobre alertas de digitalização de códigos
- Avaliar alertas de varredura de código para seu repositório
- Resolver alertas de varredura de código
Você também precisará de SMEs se precisar usar a configuração avançada para code scanning. Esses SMEs precisarão de conhecimento de code scanning alertas, bem como tópicos como GitHub Actions e personalização de code scanning fluxos de trabalho para estruturas específicas. Para definições personalizadas de configuração avançada, considere realizar reuniões sobre tópicos complicados para aumentar o conhecimento de vários SMEs ao mesmo tempo.
Para code scanning alertas da CodeQL análise, você pode usar a visão geral de segurança para ver como CodeQL está executando solicitações de pull em repositórios em toda a sua organização e para identificar repositórios em que talvez seja necessário agir. Para saber mais, confira Métricas de alerta de solicitação de pull do CodeQL.
Com uma GitHub Copilot Enterprise licença, você também pode pedir Copilot Chat do GitHub ajuda para entender code scanning melhor os alertas em repositórios em sua organização. Para saber mais, confira Fazer perguntas ao GitHub Copilot no GitHub.
Dica
Para ver o próximo artigo desta série, consulte Fase 6: Distribuição e exame de segredos em escala.