Skip to main content

Fase 5: Lanzamiento y escalado del análisis de código

Puedes aprovechar las API disponibles para lanzar code scanning mediante programación por equipo y lenguaje en toda la empresa mediante los datos del repositorio que recopilaste anteriormente.

Note

Este artículo forma parte de una serie sobre la adopción de GitHub Advanced Security a escala. Para obtener el artículo anterior de esta serie, consulta Fase 4: Creación de documentación interna.

Puedes habilitar rápidamente las características de seguridad a gran escala con la GitHub-recommended security configuration, una colección de valores de configuración de habilitación de la seguridad que puedes aplicar a los repositorios de una organización. A continuación, puede personalizar aún más las características de GitHub Advanced Security a nivel de organización con global settings. Consulte "Habilitación de características de seguridad a gran escala".

Habilitación del análisis de código

Después de probar code scanning y crear documentación interna para procedimientos recomendados, puede habilitar code scanning en toda la empresa. Puede configurar code scanning por defecto para todos los repositorios de una organización desde la vista general de seguridad. Para más información, consulta Establecimiento de la configuración predeterminada para el examen de código a gran escala.

Para algunos lenguajes o sistemas de compilación, es posible que tenga que configurar en su lugar la configuración avanzada para code scanning para obtener una cobertura completa del código base. Sin embargo, la configuración avanzada requiere mucho más esfuerzo para configurar, personalizar y mantener, por lo que se recomienda habilitar primero la configuración predeterminada.

Creación de conocimientos sobre la materia

Para administrar y usar correctamente los datos code scanning en toda la empresa, debe crear conocimientos internos sobre la materia. Para la configuración predeterminada de code scanning, una de las áreas más importantes para los expertos en la materia (PYME) para comprender es interpretar y corregir code scanning alertas. Para más información sobre las alertas code scanning, consulte:

También necesitará pymes si necesita usar la configuración avanzada para code scanning. Estas pymes necesitarán conocimiento de las alertas de code scanning, así como temas como GitHub Actions y personalización de los flujos de trabajo de code scanning para marcos concretos. Para configuraciones personalizadas de configuración avanzada, considere la posibilidad de ejecutar reuniones en temas complicados para escalar el conocimiento de varias PYME a la vez.

En el caso de las alertas de code scanning del análisis de CodeQL, puede utilizar la información general sobre seguridad para ver cómo se está comportando CodeQL en las solicitudes de introducción de cambios en repositorios de toda su organización, y para identificar repositorios en los que puede que necesite tomar medidas. Para más información, consulta Visualización de métricas para alertas de solicitud de incorporación de cambios.

Con una licencia de GitHub Copilot Enterprise, también puede pedir ayuda a GitHub Copilot Chat para comprender mejor las alertas de code scanning en los repositorios de su organización. Para más información, consulta Preguntas a GitHub Copilot en GitHub.

Note

Para ver el siguiente artículo de esta serie, consulta Fase 6: Lanzamiento y escalado del análisis de secretos.