Dica
Este artigo faz parte de uma série sobre a adoção do GitHub Advanced Security em escala. Para ver o artigo anterior desta série, confira Fase 4: Criar a documentação interna.
Você pode habilitar rapidamente os recursos de segurança em escala com um security configuration, uma coleção de configurações de habilitação de segurança que você pode aplicar a repositórios em uma organização. Você pode personalizar os recursos do Advanced Security no nível da organização com global settings. Confira Sobre a habilitação de recursos de segurança em escala.
Habilitar o exame de códigos
Depois de pilotar code scanning e criar documentação interna para melhores práticas, você pode habilitar code scanning em toda a sua empresa. Você pode configurar code scanning a configuração padrão para todos os repositórios em uma organização a partir da visão geral de segurança. Para saber mais, confira Como definir a configuração padrão da verificação de código em escala.
Para algumas linguagens ou sistemas de compilação, talvez seja necessário definir uma configuração avançada para a code scanning de modo a obter cobertura total da sua base de código. No entanto, a configuração avançada requer um esforço significativamente maior para configurar, personalizar e manter. Dessa forma, recomendamos habilitar a configuração padrão primeiro.
Criar competências no assunto
Para gerenciar e usar code scanning com êxito em toda a sua empresa, você deve criar conhecimentos internos sobre o assunto. Para a configuração padrão do code scanning, uma das áreas mais importantes para os especialistas no assunto (SMEs) entenderem é interpretar e corrigir os alertas de code scanning. Para obter mais informações sobre code scanning alertas, consulte:
- Sobre alertas de digitalização de códigos
- Avaliar alertas de varredura de código para seu repositório
- Resolver alertas de varredura de código
Você também precisará de SMEs se precisar usar a configuração avançada do code scanning. Esses SMEs precisarão de conhecimento de alertas do code scanning, bem como tópicos como GitHub Actions e personalização de code scanning fluxos de trabalho para estruturas específicas. Para definições personalizadas de configuração avançada, considere realizar reuniões sobre tópicos complicados para aumentar o conhecimento de vários SMEs ao mesmo tempo.
Para code scanning obter alertas da análise do CodeQL, você pode usar a visão geral de segurança para ver como o CodeQL está executando solicitações de pull em repositórios em que você tem acesso de gravação em sua organização e identificar repositórios em que talvez seja necessário executar uma ação. Para saber mais, confira Métricas de alerta de solicitação de pull do CodeQL.
Com uma GitHub Copilot Enterprise licença, você também pode solicitar Copilot Chat do GitHub ajuda para entender melhor os alertas de segurança, incluindo code scanning alertas nos repositórios da sua organização. Para saber mais, confira Fazer perguntas ao GitHub Copilot no GitHub.
Dica
Para ver o próximo artigo desta série, consulte Fase 6: Distribuição e exame de segredos em escala.