Dieser Artikel ist Teil einer Reihe zur Einführung von GitHub Advanced Security nach Maß. Den vorherigen Artikel dieser Reihe findest du unter Phase 4: Erstellen interner Dokumentation.
Aktivieren der Codeüberprüfung
Nach einem Pilotversuch von code scanning und der Erstellung einer internen Dokumentationen für bewährte Methoden können Sie code scanning im gesamten Unternehmen aktivieren. Sie können die code scanning-Standardeinrichtung für alle Repositorys in einer Organisation aus der Sicherheitsübersicht konfigurieren. Weitere Informationen findest du unter Konfigurieren des Standardsetups für das Codescanning im großen Stil.
Bei einigen Sprachen oder Buildsystemen müssen Sie möglicherweise stattdessen das erweiterte Setup für code scanning konfigurieren, um eine vollständige Abdeckung Ihrer Codebasis zu erhalten. Die erweiterte Einrichtung erfordert jedoch einen deutlich höheren Aufwand für die Konfiguration, Anpassung und Wartung, weshalb wir empfehlen, zunächst die Standardeinrichtung zu aktivieren.
Aufbau von Fachkompetenz
Um code scanning in Ihrem Unternehmen erfolgreich zu verwalten und zu verwenden, müssen Sie interne Fachkompetenzen aufbauen. Für die Standardeinrichtung für code scanning ist einer der wichtigsten Bereiche, den Fachexperten (SMEs) verstehen müssen, das Interpretieren und Beheben von code scanning-Warnungen. Weitere Informationen über code scanning-Warnungen finden Sie unter:
Sie benötigen auch SMEs, wenn Sie die erweiterte Einrichtung für code scanning verwenden müssen. Diese SMEs benötigen Kenntnisse über code scanning-Warnungen sowie Themen wie GitHub Actions und dem Anpassen von code scanning-Workflows für bestimmte Frameworks. Bei benutzerdefinierten Konfigurationen der erweiterten Einrichtung ziehen Sie Besprechungen zu komplizierten Themen in Betracht, um das Wissen mehrerer SMEs gleichzeitig zu vergrößern.
Den nächsten Artikel in dieser Reihe findest du unter Phase 6: Rollout und Skalierung der Geheimnisüberprüfung.